За последние годы ФБР и правоохранительные органы других стран закрыли несколько крупных сервисов аренды прокси за использования ботнетов.
Из-за ботнета закрывают и другие сервисы. Например, в январе 2022 года Google подал иск против двух россиян, которые считаются владельцами сервиса выпуска карт Extracard и сервиса аккаунтов Dont.farm.
В каждом случае под ботнетом подразумевается сеть компьютеров, зараженных вредоносным софтом. Такие сетки используются для скрытого майнинга крипты, распространения вирусов, организации DDoS-атак, сбора персональных данных пользователей и т. д.
VIP72
Прокси-сервис запустили в 2006 году. Он позиционировался как инструмент, который позволит скрывать настоящее местоположение. По данным исследователей безопасности, VIP72 использовал для перенаправления трафика клиентов преимущественно скомпрометированные компьютеры.
Примечательно, что сервис размещался на американском IP-адресе. Аналитики портала Technadu предполагают, что именно это помогло ФБР закрыть VIP72. Хотя информации об операции спецслужб в открытом доступе нет — сервис просто ушел в оффлайн в августе 2021 года.
Некоторые пользователи утверждают, что проект не справился с растущей конкуренцией и не смог выстроить качественную инфраструктуру. Все-таки 15 лет назад рынок прокси был совершенно другим.
LUXSOCKS
«Люксы» были очень популярны у арбитражников из СНГ. Сервис предлагал прокси из разных ГЕО: США, Европа, Африка, Азия. В январе 2021 года представители анонсировали закрытие проекта. Они дали пользователям 10 дней на то, чтобы потратить баланс.
Представители LUXSOCKS аргументировали закрытие уходом на пенсию, но из-за связи с кардинговым сервисом Unicc можно сделать вывод о том, что их прикрыли спецслужбы или сделали работу в прежних условиях невозможной.
В магазине Unicc продавались данные ворованных кредитных карт и номера социального страхования США. По данным нескольких медиа, овнером проекта был россиянин Андрей Новак. В январе 2021 года появилась информация о его аресте.
Ущерб от группировки The Infraud Organization, которая стояла за Unicc, оценивается в $586 млн. Известно, что ФБР много лет охотилось за её участниками и сотрудничало с российским отделом «К». Последние как раз и задержали участников Infraud.
В 2018 году в Бангкоке арестовали еще одного руководителя Infraud — российского хакера Сергея Медведева. При обыске у него нашли кошельки с 100 000 BTC. По итогам суда он получил 10 лет тюрьмы.
RSocks
В сервисе продавались IPV4 прокси оптом и поштучно. Пользователям были доступны адреса из 51 страны. Также у RSocks был собственный VPN для безопасного серфинга в интернете.
В июне 2022 года появилась информация, что минюст США ликвидировал ботнет RSocks, который использовался для DDoS-атак и спам-рассылок. По данным правоохранителей в ходе деятельности сети были взломаны миллионы компьютеров по всему миру.
16 июня на сайте минюста Америки опубликовали отчет о спецоперации против российского ботнета. Согласно публичным данным, следователи ФБР неоднократно покупали доступ к прокси, чтобы собрать данные об инфраструктуре сервиса. Первая покупка была сделана еще в 2017 году.
22 июня исследователи группы KrebsOnSecurity выложили данные владельца сервиса. Им был 35-летний россиянин Денис Емельянцев.
911.re
В июле 2022 года появилась информация о закрытии еще одного популярного китайского сервиса аренды прокси. В официальном сообщении, представители проекта заявили о том, что он был целью хакерских атак в течение последних двух лет.
В блоге KrebsOnSecurity 18 июля опубликовали подробное расследование, из которого следует, что 911.re в течение 7 лет продавал доступ к сотням тысяч компьютеров по всему миру. Представители прокси-сервиса утверждали, что доступ к устройствам получен легально — пользователи соглашались с условиями во время использования бесплатного VPN.
Исследователи пришли к выводу, что 911 поддерживался инфраструктурой, похожей на ботнет. Один из доменов, связанных с сервисом, использовался для партнерки ExE Bucks, которая предлагала высокие ставки за установку сомнительной прокси-программы.
По данным Proxyway, закрытие 911.re оставило дыру на рынке прокси. Трафик на страницы сайта, связанные с SOCKS5 и резидентными прокси, в моменте увеличился на 150-200%.
AWMProxy.net
Этот сервис был связан с ботнетом Glupteba, который аффилирован с Dont.farm и Extracard. После заявления Google об иске к овнерам ботнета, сервис AWM Proxy с 14-летней историей, внезапно отключился.
Исследователи KrebsOnSecurity называют AWM Proxy крупнейшим сервисом, которым пользовались для перенаправления трафика через взломанные устройства. Ботнет распространялся через download-партнерки.
После проблем с Dont.farm и Extracard, AWM Proxy переехал на другой домен и сейчас по-прежнему предлагает клиентам самую большую базу прокси по доступным ценам. Также сервис якобы подчиняется российскому законодательству и блокирует сайты из черного списка Роскомнадзора.
VPN и хостинг Safe-Inet
Сервис позиционировался как «пуленепробиваемый VPN», работал на рынке с 2010 года. В 2020 году ФБР отчиталось о проведении операции, в ходе которой заблокировали деятельность 3 VPN-сервисов, использовавшихся для фишинга, кражи аккаунтов и других мошеннических операций.
Серверы провайдеров арестовали в 5 странах. Данные с них ушли на анализ к правоохранителям. По результатам расследования спецслужбы обещали предъявить обвинения пользователям, нарушившим закон.
Какое будущее ждет сервисы аренды прокси?
Чтобы хоть как-то обезопаситься от проблем с правоохранителями, прокси-сервисы начали постепенно вводить верификацию через KYC (Know Your Customer). Крупнейший поставщик IP-адресов SOAX недавно выпустил новость о старте проверки клиентов.
Для анализа персональных данных используется KYC-платформа Veriff. Перед оплатой пробного пакета прокси, в личном кабинете появляется уведомление о необходимости прохождения верификации.
По оценкам экспертов Proxyway, интеграция KYC позволит белым прокси-сервисам защититься от проблем со спецслужбами. Они смогут предоставить правоохранителям данные клиентов по запросу.
Некоторые сервисы не смотрят в сторону KYC, а ограничивают регистрацию новых клиентов. Именно так поступил поставщик прокси SocksEscort. После закрытия RSocks нагрузка на них сильно увеличилась и они на время приостановили создание аккаунтов.
По данным KrebsOnSecurity, SocksEscort используют прокси-сеть на основе вредоносных программ. IP-адреса, которые они поставляют, принадлежат зараженным компьютерам.
