Rețeaua invizibilă care ascundea urmele infractorilor cibernetici a fost spartă. România apare pe harta unuia dintre cele mai mari cazuri de proxy ilegal

O amplă operațiune internațională a scos la lumină un mecanism online care a funcționat ani la rând aproape fără zgomot, dar cu efecte uriașe în lumea criminalității cibernetice. Autorități din mai multe state, inclusiv din România, au participat la destructurarea unei rețele folosite pentru mascarea adresei reale de internet a infractorilor, printr-un sistem care exploata fără știrea proprietarilor sute de mii de routere și dispozitive conectate din întreaga lume. Ancheta arată că infrastructura a compromis aproximativ 369.000 de dispozitive din 163 de țări și a fost folosită de circa 124.000 de clienți plătitori, care apelau la serviciu pentru a-și ascunde identitatea online.

Cazul este cu atât mai grav cu cât nu vorbim despre un simplu serviciu de tip VPN sau proxy aflat într-o zonă gri a internetului, ci despre o platformă care se baza pe infectarea unor echipamente obișnuite, aflate în case și birouri mici, transformate fără acordul proprietarilor în puncte de ieșire pentru activități ilegale, conform Digi24. Practic, atunci când un infractor voia să lanseze un atac, să comită o fraudă sau să își ascundă locația reală, traficul putea fi redirecționat prin conexiunea unei persoane complet străine, aflate poate la mii de kilometri distanță. Pentru anchetatori, tocmai acest tip de infrastructură este extrem de periculos, fiindcă îngreunează urmărirea autorilor reali și mută suspiciunea pe utilizatori nevinovați.

Serverele care controlau această rețea au fost identificate în mai multe state, printre care Franța, Germania, Ungaria, Țările de Jos, Statele Unite și România. În urma acțiunii coordonate, autoritățile au dezactivat infrastructură din șapte țări, au confiscat 34 de domenii și au blocat accesul la serverele care susțineau funcționarea platformei. În relatările apărute imediat după operațiune există diferențe minore privind numărul exact de servere scoase din funcțiune, unele surse indicând 20, iar altele 23, însă amploarea intervenției nu este pusă la îndoială.

Cum funcționa mecanismul care transforma routerele oamenilor în unelte pentru infractori

În esență, rețeaua opera ca un mare serviciu de „residential proxy”, adică oferea clienților acces la adrese IP reale, aparținând unor utilizatori obișnuiți. Spre deosebire de serverele clasice folosite pentru anonimizare, aceste IP-uri rezidențiale sunt mult mai greu de filtrat și de blocat, pentru că par legitime. Asta le face extrem de valoroase pentru cei care vor să își ascundă identitatea, să evite sistemele automate de protecție sau să simuleze că navighează dintr-o anumită țară ori dintr-o anumită rețea domestică.

Vezi și:

Alertă alimentară în România. Carne de pui retrasă din magazine după suspiciunea de contaminare cu Salmonella

Gabi Tamaș vrea să plece de la Survivor România. Ce l-a făcut să cedeze, ar fi o pierdere uriașă pentru Faimoși

Potrivit anchetatorilor, rețeaua destructurată era asociată cu platforma SocksEscort, un nume care a apărut în comunicate și în presa de specialitate drept unul dintre cele mai ample servicii proxy de acest tip. Sistemul se baza pe compromiterea routerelor și a unor dispozitive IoT, cel mai probabil prin malware dedicat, iar apoi vindea accesul la aceste noduri compromise către clienți plătitori. Conexiunile puteau fi cumpărate printr-o platformă online care accepta plăți anonime în criptomonede, iar investigația arată că prin acest mecanism au fost generate venituri de peste 5 milioane de euro. Surse americane vorbesc și despre înghețarea a 3,5 milioane de dolari în criptomonede în cadrul acțiunii.

Aceasta este și una dintre explicațiile pentru care serviciul a atras atât de mulți utilizatori. Pentru infractorii informatici, un astfel de proxy rezidențial nu înseamnă doar anonimat. El poate fi folosit pentru atacuri de tip credential stuffing, pentru fraude bancare, pentru preluări ilegale de conturi, pentru crearea de conturi false, pentru campanii de spam, pentru evitarea limitărilor geografice și chiar pentru găzduirea sau accesarea unor piețe ilegale. Asemenea infrastructuri sunt folosite frecvent tocmai pentru a face mai dificilă atribuirea reală a unei infracțiuni online.

Partea cea mai tulburătoare a întregii povești este însă rolul involuntar al utilizatorilor obișnuiți. Mulți dintre cei ale căror routere au fost compromise nu aveau probabil nicio idee că echipamentele lor deveniseră parte dintr-o rețea internațională folosită de infractori. Asta înseamnă că, în unele cazuri, traficul suspect putea apărea ca venind din locuința unei persoane complet nevinovate, iar semnele tehnice puteau trece neobservate mult timp. Tocmai de aceea astfel de operațiuni ridică o problemă serioasă de securitate cibernetică domestică, nu doar de criminalitate organizată în mediul online.

Vezi și:

Avertismentul Amazon despre hackerul rus care s-a folosit de inteligență artificială în atacurile sale

Cum a reușit un hacker să rezerve hoteluri de lux cu un singur cent. Metodă de fraudă care a luat prin surprindere autoritățile

De ce contează că România apare în acest dosar

Faptul că și România este menționată printre statele unde au fost găzduite servere ale rețelei nu înseamnă automat că infrastructura principală a fost locală sau că actorii-cheie provin de aici. Înseamnă însă că țara noastră a fost parte din traseul tehnic al unei operațiuni de mari dimensiuni, iar acest lucru spune multe despre cât de globală și fragmentată este astăzi criminalitatea cibernetică. Infrastructura poate fi împărțită pe mai multe continente, clienții pot veni din zeci de jurisdicții, iar victimele pot fi practic oriunde.

În plan practic, prezența unui server în România arată și că autoritățile locale au avut un rol concret în intervenția coordonată. Un astfel de server a fost deconectat și de pe teritoriul României, ceea ce înseamnă că ancheta nu a fost doar una observată din exterior, ci una în care infrastructura locală a trebuit efectiv identificată și neutralizată. Pentru public, acesta este și un semnal clar că România nu se află în afara marilor fluxuri ale criminalității informatice, nici ca țintă, nici ca zonă de tranzit tehnic.

Mai important, cazul arată cât de vulnerabile rămân echipamentele de rețea obișnuite. Multe routere casnice și dispozitive IoT sunt instalate, apoi uitate ani de zile fără actualizări de firmware, fără parole schimbate și fără monitorizare minimă. Exact acest tip de neglijență structurală face posibilă formarea unor rețele uriașe, care pot funcționa mult timp înainte să atragă suficientă atenție din partea autorităților. După operațiune, recomandările standard au vizat actualizarea software-ului, schimbarea parolelor implicite și limitarea expunerii inutile la internet a dispozitivelor conectate.

Dincolo de succesul tactic al operațiunii, povestea acestei rețele arată ceva esențial despre internetul de azi: o parte importantă a criminalității online nu se mai ascunde doar în zone obscure ale web-ului, ci în chiar infrastructura banală a vieții de zi cu zi. Routerul din sufragerie, modemul dintr-un mic birou sau un dispozitiv inteligent uitat într-un colț pot deveni, fără știrea proprietarului, piese într-un mecanism global de fraudă și anonimizare. Iar când anchetatorii ajung să tragă linie și să descopere sute de mii de dispozitive compromise, zeci de domenii confiscate și servere inclusiv în România, devine clar că amenințarea nu mai este abstractă. Este deja aici, în rețelele pe care le folosim în fiecare zi.

Mobil vs Desktop – Avantajele jocurilor de casino pe mobil