2024-11-06T16:45:17+03:00
שבע שנים לאחר הופעתו של הבוטנט Ngioweb, הוא עדיין נשאר אחד האיומים המרכזיים בתחום אבטחת הסייבר. שרת פרוקסי זה משמש באופן פעיל על ידי תוקפים כדי למצוא גאדג'טים פגיעים כגון נתבים ומכשירי IoT, אשר הופכים לאחר מכן ל-proxy "תושב" ונמכרים דרך פלטפורמת Nsocks. עלות הגישה לכתובות IP נגועות מתחילה מ-$0.20 ליום, והזמינות של פרוקסי כאלה ברחבי העולם מאפשרת להאקרים להסתיר את פעילותם.
Nsocks מציעה ללקוחות כ-30 אלף כתובות IP במחירים של עד 1.50$ לגישה של 24 שעות ביממה. כ-75% מהמכשירים הנגועים שייכים למשתמשים פרטיים, מה שהופך אותם ליעד מועדף. בין המותקפים ביותר הם נתבי Zyxel, מכשירי Linear eMerge ושואבי אבק רובוטיים של Neato. שימוש בסורקים מיוחדים עבור כל סוג של מכשיר פגיע מאפשר לתוקפים להסתיר את כל ארסנל הניצול שלהם, מה שמקשה על זיהוים.
מֵאָז אזכור ראשון על Ngioweb בדוח של צ'ק פוינט בשנת 2018, הקוד שלה כמעט ולא עבר שינויים. נשמרו גם ערוצי בקרת פיקוד, דרכם מקבלים התוקפים נתונים על מכשירים נגועים. למרות ניסיונות החוקרים לחסום את Ngioweb, עבריינים הוסיפו בדיקות ייחודיות שעוזרות להתחמק מגילוי.
בשנה שעברה חלה עלייה חדה במספר ה-proxies הפועלים דרך Ngioweb, עקב הופעתן של פרצות חדשות ושימוש פעיל בכתובות IP עדינות. לדוגמה, מעבדות LevelBlue זיהו לאחרונה זיהומים באמצעות Linear eMerge ו-Zyxel, אשר מנוצלים כדי לקבל גישה לכתובות IP ברחבי העולם, כולל ארה"ב, בריטניה וקנדה.
Nsocks, הפועלת מאז 2022, מוכרת מערכות נגועות כפרוקסי SOCKS5, מה שמאפשר לתוקפים למקד מכשירים לפי מיקום, מהירות חיבור וסוג המכשיר. תשלום מתקבל רק במטבע קריפטוגרפי, מה שמבטיח אנונימיות לתוקפים וללקוחותיהם.
השימוש הנרחב בציוד ביתי כמו Neato ו-Zyxel מצביע על כך שמשתמשים פרטיים הופכים יותר ויותר לקורבנות. מכשירים ממשיכים להתחבר לרשת, לעתים קרובות לא מודעים לאיום, ומשמשים לאנונימיזציה של פעילות זדונית של תוקפים.
