В Нидерландах отключили ботнет из 17 млн устройств

Власти Нидерландов объявили о ликвидации ботнета, под контролем которого находилось более 17 млн зараженных устройств по всему миру. Операцию провели национальная полиция и Национальный центр кибербезопасности страны. По данным следствия, сеть использовали для фишинга, спам-рассылок, DDoS-атак и проксирования трафика через домашние IP-адреса.

Расследование началось после сигнала от специалиста по информационной безопасности, который заметил подозрительную активность крупной прокси-инфраструктуры. Проверка показала, что управление сетью шло примерно через 200 серверов, размещенных в нидерландских дата-центрах. Часть оборудования изъяли, еще часть серверов отключили через хостинг-провайдеров.

Следствие полагает, что зараженные устройства работали как узлы residential proxy-сети. Это схема, при которой злоумышленники маскируют вредоносный трафик под обычные действия реальных пользователей, используя IP-адреса домашних роутеров, ПК и IoT-устройств. Такие цепочки сложнее блокировать, чем трафик из дата-центров, потому что он выглядит легитимным для антифрод-систем и сервисов защиты.

Местные СМИ связывают инфраструктуру с сервисом ASOCKS, который продает доступ к прокси на базе потребительских IP-адресов. Официально это название следствие не подтвердило. О задержанных и предъявленных обвинениях власти не сообщили, расследование продолжается.

Для европейских правоохранителей это уже не первый удар по теневому рынку residential proxy. В 2024 году Минюст США и ФБР закрыли сервис 911 S5, который называли одной из крупнейших таких сетей. Тогда следствие говорило о 19 млн скомпрометированных IP-адресов в более чем 190 странах. Еще раньше, в 2016 году, ботнет Mirai показал, насколько быстро в такие сети превращаются плохо защищенные камеры, роутеры и другая бытовая электроника. Нынешняя операция подтверждает, что спустя десять лет слабым местом интернета остаются те же устройства, только их стало заметно больше.