Платформа Infrawatch, занимающаяся кибербезопасностью, и Брайан Кребс, автор блога KrebsOnSecurity, выявили масштабную сеть скрытых прокси-устройств, установленную в домах по всей территории США. Следы сети ведут в Беларусь.
Расследование началось с поста на платформе Reddit. Пользователь Sacapoopie, который представился сотрудником Нацгвардии США, написал, что получает 250 долларов в месяц от компании DSLRoot за подключение их устройств к интернету у себя дома. По его словам, два ноутбука компании, отделенные от его личной сети, подключены проводом к модему и к отдельному DSL-порту в стене. Пользователь написал, что узнал о компании DSLRoot 5-6 лет назад через рекламу в соцсетях.
DSLRoot занимается предоставлением резидентных прокси (IP-адресов обычных пользователей) и размещает рекламу своих услуг на форуме BlackHatWorld под именем пользователя GlobalSolutions. Услуга предназначена для людей, которые физически находятся за пределами США, но хотят выглядеть так, будто они находятся в США. Компания платит жителям США за размещение своего оборудования и продает их домашние IP-адреса своим клиентам по всему миру.
DSLRoot зарегистрирована в 2012 году на Багамах. Как удалось выяснить, к ней имеет отношение беларус Андрей Голос (Andrei Holas) 1984 года рождения. Infrawatch пишет, что он живет в Минске и Москве, находясь значительное время в обоих городах. KrebsOnSecurity, ссылаясь на открытые источники, пишет, что Андрей вместе со своим братом Александром (Aliaksandr Holas) живет в Алабаме (США). Известно, что в 2010 году Андрей спрашивал на форуме, как получить визу в США, где живет его брат с американским гражданством.
По оценке Infrawatch, сейчас DSLRoot управляет примерно 300 активными аппаратными устройствами в более чем 20 штатах США.
KrebsOnSecurity предупреждает, что пользоваться услугами компании может быть опасно.
«В эпоху, когда северокорейские хакеры неустанно выдают себя за западных IT-специалистов, платя людям за размещение ферм ноутбуков в США, позволять незнакомцам управлять ноутбуками, мобильными устройствами или любым другим оборудованием в вашей сети кажется крайне рискованным шагом, независимо от вашего положения в обществе», – пишет автор блога.
В комментарии KrebsOnSecurity компания DSLRoot заявляет, что ее деятельность легальна.
«Мы мониторим наших клиентов и запрещаем любую незаконную деятельность, связанную с нашими резидентными прокси. Мы честно не знали, что человек, сделавший пост на Reddit, является военнослужащим. Будь то афроамериканская бабушка, которая хочет оплатить аренду, или белый студент, который хочет оплачивать колледж, пока они могут предоставить интернет‑линии или разместить для нас устройства, нам это подходит.
Сегодня стало практически невозможно конкурировать в этой нише, поскольку все продают резидентные прокси, и многие компании хотят, чтобы вы установили программное обеспечение на телефон или компьютер, чтобы они могли перепродавать ваши домашние IP-адреса в гораздо большем масштабе. Так называемые “легальные ботнеты”, как мы их видим», – пояснили в DSLRoot.
