Министерство юстиции США сообщает, что ФБР ликвидировало сеть и инфраструктуру прокси-ботнета IPStorm. Ранее его создатель, Сергей Макинин, гражданин России и Молдовы, признал себя виновным по трем пунктам обвинения, и теперь ему грозит наказание в виде 10 лет лишения свободы по каждому из них.
Впервые ботнет IPStorm был замечен специалистами компании Anomali в июне 2019 года, и тогда он атаковал только Windows-машины. В то время в ботнет входили примерно 3000 зараженных систем, но уже тогда исследователи обнаружили несколько уникальных и интересных особенностей, характерных исключительно для IPStorm. Например, полное название малвари — InterPlanetary Storm, — происходит от InterPlanetary File System (IPFS), P2P-протокола, который вредонос использовал для связи с зараженными системами и передачи команд.
Позже IPStorm эволюционировал и научился атаковать устройства под управлением Android, macOS и Linux, включая IoT-девайсы. В итоге ботнет позволял хакерам и мошенникам анонимно пропускать вредоносный трафик через зараженные устройства по всему миру. Как пишут теперь правоохранители, жертвы IPStorm невольно становились соучастниками действий киберпреступников и рисковали получить более опасную полезную нагрузку в любой момент.
IPStorm предлагался через сайты proxx.io и proxx.net, где рекламировался как сервис, предоставляющий более 23 000 анонимных прокси-серверов по всему миру.
«Согласно судебным документам, как минимум с июня 2019 года по декабрь 2022 года Макинин разрабатывал и распространял вредоносное ПО для взлома тысяч подключенных к интернету устройств по всему миру, в том числе в Пуэрто-Рико, — говорится в заявлении Минюста США. — Основной целью ботнета было превращение зараженных устройств в прокси-серверы в рамках коммерческой схемы, которая обеспечивала доступ к этим прокси-серверам через сайты Макинина, proxx.io и proxx.net».
В суде Макинин признал, что создал ботнет еще в 2019 году и получил прибыль в размере не менее 550 000 долларов от продажи своих прокси-сервисов другим лицам, а также согласился с конфискацией криптовалюты, полученной в результате его преступлений. По каждому из трех пунктов обвинений ему грозит до 10 лет лишения свободы.
Технические подробности работы IPStorm и его версий можно найти в отчете компании Intezer, которая помогала ФБР в сборе информации, первоначально опубликованном в октябре 2020 года.
Сообщается, что в расследовании активности IPStorm участвовали правоохранительные органы разных стран мира, включая Национальную полицию Испании, отдел по борьбе с международной организованной преступностью Доминиканской Республики, а также специалисты Министерства внутренних дел и полиции страны.