Une action menée par la police néerlandaise et le NCSC (National Cyber Security Centre) a conduit à la mise hors ligne d’un botnet. L’enquête a révélé une infrastructure s’appuyant sur plus de 200 serveurs situés aux Pays-Bas pour contrôler un réseau d’au moins 17 millions d’appareils compromis.
Les appareils compromis étaient utilisés pour mener diverses cyberattaques, comme des attaques par déni de service distribué (DDoS), ou du minage de cryptomonnaies.
Un lien supposé avec le service de proxy Asocks
Bien que les autorités n’aient pas officiellement nommé le botnet, plusieurs rapports pointent vers un service nommé Asocks.
Se présentant comme un service de proxy universel, Asocks proposait des abonnements mensuels pour accéder à des millions d’adresses IP résidentielles et mobiles. Ces services de proxys résidentiels peuvent avoir des usages légitimes, notamment pour contourner des restrictions géographiques.
Cependant, l’écosystème est souvent opaque et attire des cybercriminels qui l’exploitent pour masquer l’origine de leur trafic malveillant. Des accointances avaient déjà été pointées du doigt entre Asocks et la bibliothèque PROXYLIB, utilisée pour enrôler des appareils dans des réseaux de proxys.
Comment des millions d’appareils ont-ils été infectés ?
Selon le NCSC, les appareils peuvent faire partie d’un botnet lorsqu’ils sont accessibles à des acteurs malveillants.
Une fois l’accès obtenu, les attaquants installent un malware qui permet de contrôler l’appareil à distance et de l’intégrer au réseau cybercriminel. Les victimes sont fréquemment les propriétaires d’appareils grand public tels que les routeurs, smartphones ou objets connectés (IoT) mal sécurisés.
L’action des autorités néerlandaises confirme que les propriétaires des 17 millions d’appareils n’avaient pas consenti à participer à ces opérations. L’infection se propage souvent via des applications téléchargées depuis des sources non officielles ou des appareils utilisant encore des mots de passe par défaut.