Lumen Technologies kompaniyasining Black Lotus Labs guruhi ngioweb botnetining yangi ish sxemasini ochib berdi. Ushbu botnet eng yirik jinoyatchilik proksi-servislaridan biri bo’lgan NSOCKS ning asosi hisoblanadi. Ushbu xizmat kuniga 180 mamlakatdagi taxminan 35 000 botdan foydalanib, ularning 60% AQShda joylashgan.

Tadqiqotlar shuni ko’rsatdiki, NSOCKS botlarining taxminan 80% i IoT qurilmalari va SOHO marshrutizatorlariga hujum qiladigan ngioweb botnetiga bog’liq. Jinoyatchilar ushbu infratuzilma orqali zararli trafikni yashirishadi, firibgarlik bilan shug’ullanishadi va DDoS hujumlarini tashkil qiladi.

Lumen Technologies foydalanuvchilarning shaxsini yashirish uchun ishlatiladigan 180 dan ortiq boshqaruv serverini (C2) aniqladi. Ushbu serverlar nafaqat NSOCKS ishini ta’minlaydi, balki Shopsocks5 kabi turli jinoyatchilik guruhlari uchun botnet infratuzilmasidan foydalanish imkonini beradi.

Ngioweb tahlili shuni ko’rsatdiki, u zaif qurilmalar uchun ko’plab eksploytlardan foydalanadi, ammo “nol kun” deb ataladiganlardan foydalanmaydi. Buning o’rniga, botnet operatorlari eskirgan proshivka va dasturiy ta’minot versiyalaridan faol foydalanadilar.

Eng katta tahlikalardan biri shundaki, yuqtirgan qurilmalar ko’pincha bir vaqtning o’zida bir nechta jinoyatchilik guruhlari tomonidan ishlatiladi. Lumen Technologies ngioweb botneti bilan bog’liq barcha trafikni o’z tarmog’ida blokirovka qildi va boshqa kompaniyalarga ushbu botnetga qarshi kurashishda yordam berish uchun kompromissatsiya ko’rsatkichlarini (IOC) e’lon qildi.

NSOCKS standart proksi-funksiyalardan tashqari, jinoyatchilarga “.gov” va “.edu” kabi domenlar bo’yicha filtrlarni sozlash imkonini beradi, bu esa davlat tuzilmalari va ta’lim muassasalariga qaratilgan maqsadli hujumlar uchun imkoniyatlarni ochib beradi. Botnet arxitekturasi botlarning uzoq muddatli faoliyatini qo’llab-quvvatlaydi – qurilmalarning 40% bir oydan ortiq vaqt davomida yuqtirgan holda qoladi.

Tahdidga qarshi kurashish uchun mutaxassislar marshrutizatorlar proshivkasini muntazam yangilash, standart parollardan qochish va boshqaruv interfeyslarini himoya qilishni tavsiya etadilar. Tashkilotlar shubhali IP-manzillarni faol ravishda bloklab qo’yishlari va hujumlarni oldini olish uchun qo’shimcha himoya choralarini joriy etishlari kerak.

Tadqiqot proksi-botnetlar kiberjinoyatchilar orasida tobora ommalashib borayotganini va kiberxavfsizlik sohasi vakillari o’rtasida faol hamkorlik va birgalikdagi harakatlarni talab qilishini tasdiqladi.