La polizia olandese ha contribuito a smantellare una massiccia operazione botnet che si ritiene abbia infettato circa 17 milioni di dispositivi connessi a internet in tutto il mondo, segnando una delle maggiori interruzioni della criminalità informatica coordinate dalle forze dell’ordine europee quest’anno.
L’operazione ha preso di mira infrastrutture utilizzate per controllare reti di dispositivi compromessi che sarebbero stati affittati a cybercriminali per attacchi DDoS distribuiti, servizi proxy, campagne di furto di credenziali e altre forme di abuso online. Le autorità hanno dichiarato che i sistemi infetti includevano router, webcam, videoregistratori digitali e altri dispositivi connessi a internet vulnerabili al controllo tramite impostazioni di sicurezza deboli o software obsoleti.
According to investigators , gli operatori delle botnet costruirono una vasta rete di dispositivi dirottati che potevano essere controllati da remoto senza che i loro proprietari ne fossero a conoscenza. Una volta infettati, i sistemi venivano presumibilmente utilizzati per nascondere attività criminali, instradare traffico malevolo e lanciare attacchi contro organizzazioni in tutto il mondo.
La Polizia Nazionale Olandese ha collaborato con partner internazionali nell’ambito dell’operazione di rimozione, che ha coinvolto l’identificazione di infrastrutture di comando e controllo, il sequestro dei server e l’interruzione dei canali di comunicazione utilizzati dagli operatori delle botnet. I funzionari hanno dichiarato che diversi sistemi collegati all’operazione sono stati messi offline durante l’azione coordinata.
I ricercatori ritengono che porzioni della rete siano state utilizzate anche come servizio proxy residenziale. In questi schemi, i cybercriminali instradano il traffico internet attraverso dispositivi di consumo infetti, facendo sembrare che le attività malevole derivino da connessioni internet domestiche legittime piuttosto che da infrastrutture criminali.
Le forze dell’ordine hanno dichiarato che il botnet era legato alle operazioni di cybercrime come servizio, permettendo ai clienti di pagare per l’accesso ai dispositivi infetti e alle capacità di attacco senza sviluppare una propria infrastruttura malware. Servizi simili sono frequentemente utilizzati in campagne DDoS, attacchi di credential stuffing, operazioni di frode e servizi di anonimato per altri gruppi di criminali informatici.
Le autorità non hanno rivelato l’identità di tutti i sospetti collegati all’operazione. Tuttavia, gli investigatori hanno confermato che durante perquisizioni sono state sequestrate prove legate a individui ritenuti coinvolti nella gestione di parti dell’infrastruttura botnet.
La disazione segue una serie di recenti operazioni internazionali che hanno preso di mira grandi botnet e reti proxy che sfruttano dispositivi internet delle cose poco protetti. Le agenzie di sicurezza si sono sempre più concentrate su queste reti perché possono rimanere attive per anni mentre abusano silenziosamente dell’hardware dei consumatori su larga scala.
Le autorità olandesi hanno dichiarato che l’analisi forense dei sistemi sequestrati è in corso e potrebbe portare a ulteriori arresti mentre gli investigatori continuano a rintracciare le infrastrutture e le attività finanziarie legate all’operazione.