Internationale politieactie haalt cybercrimineel proxynetwerk SocksEscort offline

Amerikaanse en Europese autoriteiten hebben een grote cybercriminele infrastructuur ontmanteld. Het gaat om SocksEscort, een proxydienst die door criminelen werd gebruikt om hun identiteit te verbergen tijdens digitale fraude, waaronder het stelen van cryptovaluta.

Dat maakten het Amerikaanse ministerie van Justitie (DOJ) en Europol donderdag bekend. De actie maakt deel uit van een internationale operatie tegen cybercriminaliteit waarbij meerdere landen betrokken waren.

Wereldwijd netwerk van gehackte apparaten

Volgens onderzoekers maakte SocksEscort gebruik van een groot netwerk van gehackte apparaten. In totaal zouden minstens 369.000 routers en andere internetapparaten in 163 landen zijn geïnfecteerd.

Zodra deze apparaten waren overgenomen, konden criminelen ze gebruiken als zogenaamde proxyservers. Zo’n proxy werkt als een tussenstation op internet en zorgt ervoor dat het echte IP-adres van een gebruiker verborgen blijft. Daardoor wordt het moeilijker voor opsporingsdiensten om te achterhalen waar een cyberaanval vandaan komt.

De proxydienst zou sinds 2020 actief zijn geweest en werd gebruikt voor verschillende vormen van cybercriminaliteit. Daarbij gaat het onder meer om bankfraude en het overnemen van accounts met cryptovaluta.

In één van de door aanklagers beschreven gevallen verloor een slachtoffer in New York ongeveer 1 miljoen dollar aan cryptovaluta nadat criminelen toegang kregen tot zijn account.

Servers offline en miljoenen aan crypto bevroren

Tijdens de internationale operatie hebben autoriteiten meerdere onderdelen van het netwerk uitgeschakeld. In totaal zijn 34 domeinnamen in beslag genomen en zijn ongeveer twee dozijn servers in zeven landen offline gehaald.

Daarnaast hebben opsporingsdiensten ongeveer 3,5 miljoen dollar aan cryptovaluta bevroren die in verband wordt gebracht met de operatie.

Volgens Europol konden gebruikers toegang krijgen tot SocksEscort via een speciaal betaalplatform. Daar konden criminelen de proxydienst anoniem aanschaffen met cryptovaluta.

Onderzoekers schatten dat het platform sinds de oprichting minstens 5 miljoen euro aan inkomsten heeft gegenereerd.

Internationale samenwerking tegen cybercriminaliteit

Volgens Europol-directeur Catherine De Bolle spelen proxydiensten zoals SocksEscort een belangrijke rol in de digitale infrastructuur van cybercriminelen.

Ze stelt dat dergelijke diensten criminelen helpen om aanvallen uit te voeren, illegale content te verspreiden en opsporing te ontwijken.

Volgens De Bolle laat de operatie zien hoe belangrijk internationale samenwerking is bij het bestrijden van cybercriminaliteit. Wanneer onderzoekers wereldwijd informatie delen, kan de infrastructuur achter cybercrime beter worden opgespoord en ontmanteld.

Opsporingsdiensten uit meerdere landen betrokken

Aan de operatie namen opsporingsdiensten deel uit Oostenrijk, Frankrijk, Nederland, Duitsland, Hongarije, Roemenië en de Verenigde Staten.

In de VS waren onder meer het FBI-kantoor in Sacramento, de Defense Criminal Investigative Service van het Amerikaanse ministerie van Defensie en IRS Criminal Investigation betrokken bij het onderzoek.

Europol en Eurojust ondersteunden de internationale samenwerking en hielpen bij de coördinatie van de operatie.

Ook private organisaties speelden een rol. Zo leverden Black Lotus Labs, de dreigingsanalyse-afdeling van telecombedrijf Lumen Technologies, en de non-profitorganisatie Shadowserver Foundation belangrijke technische informatie tijdens het onderzoek.

Malware gebruikt om apparaten over te nemen

Volgens cybersecuritysite The Hacker News maakte SocksEscort gebruik van malware met de naam AVrecon. Met deze software konden routers en andere internetapparaten worden geïnfecteerd en op afstand worden bestuurd.

De details over deze malware werden in juli 2023 openbaar gemaakt door onderzoekers van Black Lotus Labs.

De ontmanteling van SocksEscort wordt gezien als een belangrijke stap in de strijd tegen cybercriminaliteit, omdat dergelijke proxynetwerken vaak worden gebruikt om fraude, hacks en andere digitale misdrijven uit te voeren.