Прокси 911.re работали через ботнет сеть, FBI
В июле Шербрукский университет опубликовал исследование, в котором проанализировали работу сервиса 911.re. Они анализировали проект с января 2021 года по апрель 2022 года.
В результате исследования было обнаружено, что 911 сдавал в аренду прокси-сервера более 120 000 компьютера. Большая часть ПК находилась в США. На всех устройствах были установлены вредоносные программы. Пользователи этих компьютеров не подозревали, что их ПК стали частью большой сети.
После публикации исследования блог Krebs on Security ещё подробней рассмотрел сеть. Он нашёл ссылки, ведущие в Китай. Оказалось, что в 2016 году вредоносное ПО продвигалось через партнёрскую программу ExE Bucks. Они принимали все виды трафика. Были и другие способы, чтобы продвигать вредоносные программы.
В четверг 28 июля на сайте 911.re опубликовали сообщение, что прокси-сервер прекратил работу. По информации на сайте, 911 прекратил работа из-за группы хакеров, которые клонировали сайт 911.re и обманывали пользователей.
За последние годы ФБР и правоохранительные органы других стран закрыли несколько крупных сервисов аренды прокси за использования ботнетов.
Из-за ботнета закрывают и другие сервисы. Например, в январе 2022 года Google подал иск против двух россиян, которые считаются владельцами сервиса выпуска карт Extracard и сервиса аккаунтов Dont.farm.
В каждом случае под ботнетом подразумевается сеть компьютеров, зараженных вредоносным софтом. Такие сетки используются для скрытого майнинга крипты, распространения вирусов, организации DDoS-атак, сбора персональных данных пользователей и т. д.
VIP72
Прокси-сервис запустили в 2006 году. Он позиционировался как инструмент, который позволит скрывать настоящее местоположение. По данным исследователей безопасности, VIP72 использовал для перенаправления трафика клиентов преимущественно скомпрометированные компьютеры.
Примечательно, что сервис размещался на американском IP-адресе. Аналитики портала Technadu предполагают, что именно это помогло ФБР закрыть VIP72. Хотя информации об операции спецслужб в открытом доступе нет — сервис просто ушел в оффлайн в августе 2021 года.
Некоторые пользователи утверждают, что проект не справился с растущей конкуренцией и не смог выстроить качественную инфраструктуру. Все-таки 15 лет назад рынок прокси был совершенно другим.
LUXSOCKS
«Люксы» были очень популярны у арбитражников из СНГ. Сервис предлагал прокси из разных ГЕО: США, Европа, Африка, Азия. В январе 2021 года представители анонсировали закрытие проекта. Они дали пользователям 10 дней на то, чтобы потратить баланс.
Представители LUXSOCKS аргументировали закрытие уходом на пенсию, но из-за связи с кардинговым сервисом Unicc можно сделать вывод о том, что их прикрыли спецслужбы или сделали работу в прежних условиях невозможной.
В магазине Unicc продавались данные ворованных кредитных карт и номера социального страхования США. По данным нескольких медиа, овнером проекта был россиянин Андрей Новак. В январе 2021 года появилась информация о его аресте.
Ущерб от группировки The Infraud Organization, которая стояла за Unicc, оценивается в $586 млн. Известно, что ФБР много лет охотилось за её участниками и сотрудничало с российским отделом «К». Последние как раз и задержали участников Infraud.
В 2018 году в Бангкоке арестовали еще одного руководителя Infraud — российского хакера Сергея Медведева. При обыске у него нашли кошельки с 100 000 BTC. По итогам суда он получил 10 лет тюрьмы.
RSocks
В сервисе продавались IPV4 прокси оптом и поштучно. Пользователям были доступны адреса из 51 страны. Также у RSocks был собственный VPN для безопасного серфинга в интернете.
В июне 2022 года появилась информация, что минюст США ликвидировал ботнет RSocks, который использовался для DDoS-атак и спам-рассылок. По данным правоохранителей в ходе деятельности сети были взломаны миллионы компьютеров по всему миру.
16 июня на сайте минюста Америки опубликовали отчет о спецоперации против российского ботнета. Согласно публичным данным, следователи ФБР неоднократно покупали доступ к прокси, чтобы собрать данные об инфраструктуре сервиса. Первая покупка была сделана еще в 2017 году.
22 июня исследователи группы KrebsOnSecurity выложили данные владельца сервиса. Им был 35-летний россиянин Денис Емельянцев.
911.re
В июле 2022 года появилась информация о закрытии еще одного популярного китайского сервиса аренды прокси. В официальном сообщении, представители проекта заявили о том, что он был целью хакерских атак в течение последних двух лет.
В блоге KrebsOnSecurity 18 июля опубликовали подробное расследование, из которого следует, что 911.re в течение 7 лет продавал доступ к сотням тысяч компьютеров по всему миру. Представители прокси-сервиса утверждали, что доступ к устройствам получен легально — пользователи соглашались с условиями во время использования бесплатного VPN.
Исследователи пришли к выводу, что 911 поддерживался инфраструктурой, похожей на ботнет. Один из доменов, связанных с сервисом, использовался для партнерки ExE Bucks, которая предлагала высокие ставки за установку сомнительной прокси-программы.
По данным Proxyway, закрытие 911.re оставило дыру на рынке прокси. Трафик на страницы сайта, связанные с SOCKS5 и резидентными прокси, в моменте увеличился на 150-200%.
AWMProxy.net
Этот сервис был связан с ботнетом Glupteba, который аффилирован с Dont.farm и Extracard. После заявления Google об иске к овнерам ботнета, сервис AWM Proxy с 14-летней историей, внезапно отключился.
Исследователи KrebsOnSecurity называют AWM Proxy крупнейшим сервисом, которым пользовались для перенаправления трафика через взломанные устройства. Ботнет распространялся через download-партнерки.
После проблем с Dont.farm и Extracard, AWM Proxy переехал на другой домен и сейчас по-прежнему предлагает клиентам самую большую базу прокси по доступным ценам. Также сервис якобы подчиняется российскому законодательству и блокирует сайты из черного списка Роскомнадзора.
VPN и хостинг Safe-Inet
Сервис позиционировался как «пуленепробиваемый VPN», работал на рынке с 2010 года. В 2020 году ФБР отчиталось о проведении операции, в ходе которой заблокировали деятельность 3 VPN-сервисов, использовавшихся для фишинга, кражи аккаунтов и других мошеннических операций.
Серверы провайдеров арестовали в 5 странах. Данные с них ушли на анализ к правоохранителям. По результатам расследования спецслужбы обещали предъявить обвинения пользователям, нарушившим закон.
Какое будущее ждет сервисы аренды прокси?
Чтобы хоть как-то обезопаситься от проблем с правоохранителями, прокси-сервисы начали постепенно вводить верификацию через KYC (Know Your Customer). Крупнейший поставщик IP-адресов SOAX недавно выпустил новость о старте проверки клиентов.
Для анализа персональных данных используется KYC-платформа Veriff. Перед оплатой пробного пакета прокси, в личном кабинете появляется уведомление о необходимости прохождения верификации.
По оценкам экспертов Proxyway, интеграция KYC позволит белым прокси-сервисам защититься от проблем со спецслужбами. Они смогут предоставить правоохранителям данные клиентов по запросу.
Некоторые сервисы не смотрят в сторону KYC, а ограничивают регистрацию новых клиентов. Именно так поступил поставщик прокси SocksEscort. После закрытия RSocks нагрузка на них сильно увеличилась и они на время приостановили создание аккаунтов.
По данным KrebsOnSecurity, SocksEscort используют прокси-сеть на основе вредоносных программ. IP-адреса, которые они поставляют, принадлежат зараженным компьютерам.
ABM.net
Anonymous-proxies.net
Awmproxy.net
@Blackproxyio
Brightdata.com
Buypersonalproxy.com
Changemyip.com
Cosmoproxy.com
Cyber-gateway.net
DSLrentals.com
DSLroot.com
EtunnelVPN.com
Faceless.cc
Flipnode.io
Geosurf.com
Highproxies.com
Homeip.io
Hydraproxy.com
IPBurger.com
IPv4depot.com
Illusory.io
Infatica.io
Ip-Teleport.com
Iproxy.online
LTEboost.com
Litport.net
Localproxies.com
Luminati.io
Luxproxy.com
Luxsocks.ru
Massproxy.com
Metrow.com
Mobileproxy.space
@Mobproxies
Netnut.io
Nonymous.io
Nosok.org
Omgproxy.com
Onlinesim.io
Oxylabs.io
Pingproxies.com
Privateproxy.me
Proxiesforyou.com
Proxy.army
Proxy-cheap.com
Proxy-list.ru
Proxy-seller.com
Proxy-seller.ru
Proxy1337.com
ProxyLTE.com
Proxy.market
Proxy_speedmask.deer.is
(http://proxy_speedmask.deer.is/)(http://proxy_speedmask.deer.is/)Proxycue.com
Proxyempire.com
Proxyguys.com
Proxyhulk.com
Proxyips.net
Proxymatter.io
Proxyninja.io
Proxypanel.io
Proxyplanner.com
Proxys.io
Proxyside.io
Proxysocks5.com
Proxysolutions.net
Proxystore.net
Proxytales.com
Proxyverse.io
Proxywhite.com
Proxyworld.io
Purevpn.com
RSocks.net
Rotatingproxies.com
Satproxy.com
Seproxysoft.com
Smartproxy.io
Soax.com
Stackaxis.io
Superproxy.shop
Supersonicproxies.com
Surveyproxies.com
Topsocks.io
Truesocks.net
V6proxies.com
Virtnumber.com
Worldsocks5.com
Youproxy.ru
You-proxy.com
Zproxies.com
iProxy.biz
SocksEscort
vclab
5Socks[.] net
Astroproxy[.] com
Bestproxy[.] net
http://t.me/Betternever_findbot?start=943281670
Aceproxies.com
Anonymous-proxies.net
Awmproxy.net
@Blackproxyio
Brightdata.com
Buypersonalproxy.com
Changemyip.com
Cosmoproxy.com
Cyber-gateway.net
DSLrentals.com
DSLroot.com
EtunnelVPN.com
Faceless.cc
Flipnode.io
Geosurf.com
Highproxies.com
Homeip.io
Hydraproxy.com
IPBurger.com
IPv4depot.com
Illusory.io
Infatica.io
Ip-Teleport.com
Iproxy.online
LTEboost.com
Litport.net
Localproxies.com
Luminati.io
Luxproxy.com
Luxsocks.ru
Massproxy.com
Metrow.com
Mobileproxy.space
Netnut.io
Nonymous.io
Nosok.org
Omgproxy.com
Onlinesim.io
Oxylabs.io
Pingproxies.com
Privateproxy.me
Proxiesforyou.com
Proxy.army
Proxy-cheap.com
Proxy-list.ru
Proxy-seller.com
Proxy-seller.ru
Proxy1337.com
ProxyLTE.com
Proxy.market
Proxy_speedmask.deer.is
Proxyempire.com
Proxyguys.com
Proxyhulk.com
Proxyips.net
Proxymatter.io
Proxyninja.io
Proxypanel.io
Proxyplanner.com
Proxys.io
Proxyside.io
Proxysocks5.com
Proxysolutions.net
Proxystore.net
Proxytales.com
Proxyverse.io
Proxywhite.com
Proxyworld.io
Purevpn.com
RSocks.net
Rotatingproxies.com
Satproxy.com
Seproxysoft.com
Smartproxy.io
Soax.com
Stackaxis.io
Superproxy.shop
Supersonicproxies.com
Surveyproxies.com
Topsocks.io
Truesocks.net
V6proxies.com
Virtnumber.com
Worldsocks5.com
Youproxy.ru
You-proxy.com
Zproxies.com
iProxy.biz
proxy-seller.com
yilu.us
https://iparchitect.ru/Proxy.for.Telegram/
astroproxy.com
nsocks.net