Međunarodna policijska operacija koju su predvodili Europol i američko Ministarstvo pravde (DOJ) dovela je do razbijanja velike sajber kriminalne infrastrukture poznate kao SocksEscort. Tokom akcije zamrznuto je oko 3,5 miliona dolara u kriptovalutama, dok je istovremeno ugašen deo digitalne infrastrukture koja je korišćena za kriminalne aktivnosti širom sveta.

Operacija, nazvana Operation Lightning, sprovedena je 11. marta i obuhvatila je koordinisane racije u više država, uključujući zemlje Evropske unije i Sjedinjene Američke Države.

Istražitelji su tokom akcije zaplenili servere, domene i digitalne novčanike povezane sa mrežom koja je omogućavala kriminalcima da sakriju svoj identitet dok su izvodili različite vrste prevara.

Šta je bila SocksEscort mreža

SocksEscort je bila maliciozna proxy mreža koja je koristila zaražene internet uređaje kako bi kriminalcima omogućila anonimno delovanje na internetu.

Prema podacima istražitelja, mreža je kompromitovala više od 369.000 rutera i IoT uređaja u 163 zemlje, pretvarajući ih u deo globalnog botneta.

Ovi uređaji su potom korišćeni kao tzv. proxy čvorovi, preko kojih su kriminalci mogli da:

• sakriju svoju stvarnu IP adresu
• pokreću sajber napade
• izvršavaju finansijske prevare
• kompromituju kripto naloge.

Sistem je korisnicima pružao pristup desetinama hiljada IP adresa koje su izgledale kao legitimne kućne internet konekcije.

Kako je mreža korišćena za kriminal

Kriminalci su preko SocksEscort mreže mogli da prikriju svoje digitalne tragove i izvrše različite vrste sajber kriminala.

Prema američkim tužiocima, mreža je korišćena za:

• krađu kripto naloga
• bankarske prevare
• krađu identiteta
• DDoS napade
• širenje malvera.

U jednom od slučajeva koje su naveli istražitelji, žrtva iz Njujorka izgubila je oko 1 milion dolara u kriptovalutama nakon što su napadači preuzeli kontrolu nad njenim nalogom.

Drugi incidenti uključivali su finansijske prevare nad kompanijama i pojedincima širom sveta.

Koliko je infrastrukture zaplenjeno

Tokom operacije istražitelji su uspeli da uklone veliki deo infrastrukture koja je podržavala kriminalnu mrežu.

U akciji je zaplenjeno:

• 34 internet domena
• 23 servera u sedam država
• oko 3,5 miliona dolara u kriptovalutama.

Istovremeno su zaraženi uređaji isključeni iz mreže, čime je prekinut rad botneta koji je omogućavao kriminalne aktivnosti.

Koliko je novca zaradila kriminalna mreža

Istražitelji procenjuju da je mreža tokom godina rada ostvarila značajan prihod.

Prema dostupnim podacima, servis povezan sa SocksEscort mrežom primio je više od 5,7 miliona dolara u kriptovalutama od svojih korisnika koji su plaćali pristup proxy infrastrukturi.

Ovaj novac dolazio je od kriminalnih grupa koje su koristile mrežu za različite ilegalne operacije.

Kako su uređaji kompromitovani

Napadači su koristili relativno jednostavne metode za kompromitovanje uređaja.

Najčešće su ciljali:

• kućne rutere sa slabim lozinkama
• internet kamere
• digitalne video rekordere
• druge IoT uređaje povezane na internet.

Kada bi dobili pristup uređaju, instalirali bi malver koji bi pretvorio uređaj u proxy server za kriminalnu mrežu.

Zbog slabih bezbednosnih standarda kod mnogih IoT uređaja, napadači su uspeli da izgrade mrežu koja se prostirala na gotovo celom svetu.

Međunarodna saradnja policije

Operacija je sprovedena kroz široku međunarodnu saradnju policijskih i pravosudnih institucija.

U akciji su učestvovali:

• Europol
• američko Ministarstvo pravde
• FBI
• policijske agencije iz više evropskih država.

Europol je pružio tehničku i analitičku podršku, uključujući praćenje kripto transakcija i analizu malvera, dok su nacionalne policije sprovele racije i zaplene infrastrukture.

Ova vrsta saradnje postaje sve važnija jer sajber kriminal često prelazi granice pojedinačnih država.

Zašto je zamrzavanje kriptovaluta važan deo operacije

Zamrzavanje 3,5 miliona dolara u kriptovalutama predstavlja ključni deo borbe protiv sajber kriminala.

Uklanjanjem finansijske dobiti kriminalnim mrežama:

• smanjuje se motivacija za nastavak operacija
• otežava se finansiranje novih napada
• povećava se pritisak na organizatore kriminalnih mreža.

Praćenje kripto transakcija postalo je jedna od najvažnijih tehnika u modernim sajber istragama.

Zaključak

Međunarodna operacija koju su sproveli Europol i američko Ministarstvo pravde dovela je do razbijanja velike kriminalne infrastrukture poznate kao SocksEscort. Tokom akcije zamrznuto je 3,5 miliona dolara u kriptovalutama, zaplenjeni su serveri i domeni, a botnet koji je kompromitovao stotine hiljada uređaja širom sveta je ugašen.

Ova operacija pokazuje kako sve snažnija međunarodna saradnja i napredne metode praćenja kriptovaluta omogućavaju policiji da identifikuje i razbije kompleksne sajber kriminalne mreže.