Le autorità statunitensi ed europee hanno dichiarato giovedì di aver smantellato SocksEscort, un servizio proxy dannoso utilizzato dai criminali informatici per nascondere la propria identità mentre commettevano frodi, tra cui l’appropriazione indebita di conti di criptovalute.
Il Dipartimento di Giustizia ha affermato che il servizio ha compromesso almeno 369.000 router e altri dispositivi connessi a Internet in 163 paesi, consentendo ai criminali informatici di controllare i proxy che nascondevano i loro veri indirizzi IP.
Secondo quanto riferito, dal 2020 la piattaforma avrebbe facilitato la commissione di reati, tra cui frodi bancarie e appropriazioni indebite di conti di criptovaluta. In un caso citato dai pubblici ministeri, una vittima a New York ha perso circa 1 milione di dollari in criptovaluta.
Le autorità hanno dichiarato di aver sequestrato 34 domini, smantellato circa due dozzine di server in sette paesi e congelato circa 3,5 milioni di dollari in criptovaluta collegati all'operazione.
La rete ha ricevuto almeno $5,7 milioni dagli utenti
Per accedere al servizio proxy, i clienti utilizzavano una piattaforma di pagamento che consentiva loro di acquistarlo in modo anonimo tramite criptovaluta, secondo quanto riportato in una dichiarazione di Europol.
Gli investigatori stimano che SocksEscort abbia incassato almeno 5 milioni di euro (5,7 milioni di dollari) dai propri utenti.
“Servizi proxy come ‘SocksEscort’ forniscono ai criminali la copertura digitale di cui hanno bisogno per sferrare attacchi, distribuire contenuti illegali ed eludere i controlli”, ha affermato Catherine De Bolle, direttrice esecutiva di Europol.
“Operazioni come questa dimostrano che, quando gli investigatori riescono a collegare i vari indizi a livello internazionale, è possibile smascherare e smantellare le infrastrutture alla base della criminalità informatica”, ha aggiunto.
Operazione ha visto coinvolgimento di agenzie di diversi paesi
L'operazione di smantellamento rientrava in un'iniziativa internazionale coordinata che ha coinvolto le forze dell'ordine di Austria, Francia, Paesi Bassi, Germania, Ungheria, Romania e Stati Uniti.
Tra le agenzie statunitensi coinvolte figuravano l'ufficio locale dell'FBI di Sacramento, il Servizio investigativo penale della Difesa (DCIS) dell'Ufficio dell'ispettore generale del Dipartimento della Difesa e l'ufficio locale di Oakland dell'IRS Criminal Investigation. Europol ed Eurojust hanno fornito supporto investigativo e operativo per l'operazione transfrontaliera.
Il Dipartimento di Giustizia ha inoltre riconosciuto l'assistenza fornita da Black Lotus Labs, l'unità di intelligence sulle minacce della società di telecomunicazioni statunitense Lumen Technologies, e dall'organizzazione no profit Shadowserver Foundation, che ha fornito intelligence tecnica durante le indagini.
Secondo The Hacker News, SocksEscort si basava su un malware noto come AVrecon, i cui dettagli sono stati documentati pubblicamente da Black Lotus Labs nel luglio 2023.
