Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

САД ја нарушија SocksEscort прокси мрежата напојувана од Linux малициозен софтвер

Објавено: 13.03.2026

Органите за спроведување на законот во United States и Europe, заедно со приватни партнери, ја нарушија сајбер-криминалната SocksEscort прокси мрежа, која се потпираше исклучиво на edge уреди компромитирани преку AVRecon malware за Linux.

Според Black Lotus Labs, која помогна на United States Department of Justice во уривањето на SocksEscort, прокси мрежата имала просечно околу 20.000 заразени уреди неделно во текот на последните неколку години.

SocksEscort првпат беше документиран од истражувачите на Black Lotus Labs во 2023 година и функционирал повеќе од една деценија, нудејќи им на сајбер-криминалците услуги за рутирање на интернет сообраќај преку уреди на домашни корисници и мали бизниси.

Сервисот рекламирал пристап до „чисти“ IP адреси од големи интернет провајдери како:

  • Comcast
  • Spectrum
  • Verizon
  • Charter Communications

Овие IP адреси можеле да поминат повеќе блок-листи, што ги правело идеални за криминални активности.

„Од летото 2020 година, SocksEscort нудеше продажба на пристап до околу 369.000 различни IP адреси,“ соопшти Министерството за правда на САД во денешното соопштение.

„Заклучно со февруари 2026 година, апликацијата SocksEscort прикажуваше околу 8.000 заразени рутери до кои клиентите можеа да купат пристап, од кои 2.500 се наоѓаа во САД.“

Министерството за правда наведува дека услугата SocksEscort била користена во:

  • кражба на 1 милион долари во криптовалути од корисник во New York,
  • измама што предизвикала 700.000 долари загуба кај производствена компанија во Pennsylvania,
  • измама што предизвикала 100.000 долари штета кај сегашни и поранешни припадници на американската војска преку MILITARY STAR картички.

Во Европа, властите во:

  • Austria
  • France
  • Netherlands

успеале да исклучат повеќе SocksEscort сервери, под координација на Europol.

„За време на денот на акцијата, органите за спроведување на законот успешно исклучија и запленија 34 домени и 23 сервери лоцирани во седум држави,“ соопшти европската агенција.

САД исто така замрзнаа 3,5 милиони долари во криптовалути.

Во моментов, сите заразени уреди што се користеле во SocksEscort прокси мрежата се исклучени од сервисот.

Според истражувачите од Lumen, SocksEscort бил напојуван од AVRecon malware, кој се смета дека е активен најмалку од мај 2021 година и до средината на 2023 година заразил повеќе од 70.000 Linux-базирани SOHO (Small Office/Home Office) рутери.

Истражувачите од Lumen ја нарушија AVRecon router ботнет мрежата во 2023 година, со тоа што ја null-route-ираа command-and-control (C2) инфраструктурата низ својата мрежа, со што ги отсекоа заразените уреди од нивните оператори.

Ова ја прекина комуникацијата со proxy серверите и контролни јазли на ботнетот, што практично ја направи мрежата неоперативна во инфраструктурата на Lumen.

Сепак, ова нарушување имало ограничен ефект, и со текот на времето операторите на SocksEscort повторно започнале со редовни операции, рутирајќи ја комуникацијата преку 15 command-and-control (C2) јазли.

Број на жртви на SocksEscort низ времето

Портпарол на Lumen Technologies изјави за BleepingComputer дека SocksEscort користел исклучиво AVRecon malware за додавање нови јазли во мрежата. Од почетокот на 2025 година, компанијата забележала околу 280.000 уникатни IP адреси на жртви.

Истражувачите веруваат дека AVRecon malware бил користен само за проширување на SocksEscort мрежата, бидејќи забележаните IP адреси на жртвите не биле забележани во други ботнети или услуги. Исто така, и покрај значителната големина на операцијата, операторите успеале да ја одржат C2 (command-and-control) инфраструктурата недетектирана.

Според истражувачите, повеќе од половина од заразените уреди се наоѓале во:

  • United States
  • United Kingdom

Ова е особено корисно за рутирање на злонамерен интернет сообраќај и избегнување на блок-листи, бидејќи IP адресите од овие земји обично се сметаат за доверливи.

Локација на жртвите на ботнетот

На почетокот на оваа недела, Black Lotus Labs откри уште еден proxy ботнет наречен KadNap, кој првенствено таргетира ASUS рутери и други edge мрежни уреди.

Од август 2025 година, ботнетот заразил околу 14.000 уреди, користејќи нов, но несовршен механизам за комуникација и откривање на peer уреди, базиран на Kademlia Distributed Hash Table (DHT) протоколот.

Компанијата Lumen Technologies презеде ограничени мерки против овој ботнет, блокирајќи целокупен мрежен сообраќај кон и од неговата C2 (command-and-control) инфраструктура во рамките на својата мрежа. Со тоа се спречува заразените уреди да комуницираат со контролерите на ботнетот.

За да се намали веројатноста од компромитирање на рутерите, експертите препорачуваат:

  • да се заменат моделите што достигнале крај на животниот циклус (EOL),
  • да се инсталираат најновите firmware ажурирања,
  • да се промени стандардната администраторска лозинка,
  • да се исклучи далечинскиот пристап (remote access) доколку не е неопходен. 🔐

Извори:

  • Bleeping Computer – US disrupts SocksEscort proxy network powered by Linux malware Bleeping Computer