Le FBI démantèle un réseau mondial de bots malveillants installés sur de vieux routeurs

Un réseau de bots vieux de 20 ans, appuyé sur des routeurs Wi-Fi domestiques obsolètes, a été démantelé par le FBI et ses partenaires. À la clé : 46 millions de dollars générés par la vente de proxies anonymes utilisés pour des activités criminelles, via les sites Anyproxy.net et 5socks.net.

Un réseau mondial basé sur du matériel bon pour la poubelle

Le FBI, en collaboration avec les polices néerlandaise et thaïlandaise, a mis fin à un réseau criminel s’appuyant sur des routeurs Wi-Fi dépassés. Depuis 2004, les sites Anyproxy.net et 5socks.net proposaient à la vente des accès à ces appareils transformés en serveurs proxy. Moyennant un abonnement mensuel entre 10 et 110 dollars, les clients pouvaient louer ces connexions pour masquer leur identité en ligne. Ce réseau, géré en partie depuis la Virginie, s’appuyait sur un botnet diffusé à l’échelle mondiale. Résultat : plus de 46 millions de dollars encaissés grâce à une infrastructure fondée sur du matériel obsolète et mal sécurisé.

Une opération longue durée, rendue possible par des failles connues

Le groupe cybercriminel ciblait principalement des routeurs de marques comme Linksys, Cisco ou Ericsson, dont le support avait été abandonné depuis des années. Aucun exploit de type zero-day : les vulnérabilités utilisées étaient déjà bien documentées. Une fois infectés, les routeurs étaient reconfigurés pour offrir un accès distant et utilisés comme relais anonymes pour d’autres acteurs malveillants. Le malware déployé, dont la méthode rappelle celui connu sous le nom de TheMoon, permettait aussi de propager l’infection à d’autres appareils vulnérables sur le réseau.

Les quatre personnes mises en cause (trois Russes et un Kazakhstanais) sont accusées de conspiration, de sabotage de systèmes protégés, et d’enregistrement frauduleux de noms de domaine. L’enquête, menée dans le cadre de l’opération “Moonlander”, a également permis de tracer les serveurs de commande et de contrôle vers la Turquie. Malgré la façade commerciale affichant plus de 7 000 proxies disponibles, les analystes de Lumen Technologies estiment que seulement 1 000 étaient actifs en moyenne chaque semaine, répartis sur plus de 80 pays, dont majoritairement les États-Unis.

Mettez vos routeurs à jour, ou changez-les

Le FBI en profite pour rappeler l’importance de remplacer les routeurs en fin de vie, en particulier les modèles identifiés comme vulnérables. Les utilisateurs sont également invités à désactiver l’administration à distance et à redémarrer régulièrement leurs équipements pour limiter les risques d’infection. Le cas de 5socks.net montre une nouvelle fois l’ampleur que peuvent prendre les réseaux de proxies résidentiels dans les activités cybercriminelles, en rendant le traçage plus difficile pour les autorités !

Il vous reste un vieux routeur à la maison ? Méfiez-vous donc de lui, il fait peut-être des trucs très louches dans votre dos.

Article invité publié par Vincent Lautier. Vous pouvez aussi me suivre sur Bluesky, faire un saut sur mon blog, ou lire les tests que je publie dans la catégorie “Gadgets Tech”, comme cette visseuse ou ces bouchons d’oreilles incroyables !

Sources : The Register, Dark Reading