Μια υπηρεσία proxy ονόματι SocksEscort μόλυνε χιλιάδες routers από μάρκες όπως D-Link, Netgear και TP-Link και πωλούσε πρόσβαση σε αυτά σε εγκληματίες του κυβερνοχώρου. Οι ΗΠΑ συνεργάστηκαν με την Europol για να κλείσουν την SocksEscort, η οποία πωλούσε τις υπηρεσίες της στο ανοιχτό διαδίκτυο έναντι μόλις $15 το μήνα. Ωστόσο, οι ερευνητές αναφέρουν ότι η επιχείρηση στην πραγματικότητα διοχέτευε την κίνηση του proxy σε δρομολογητές που είχαν παραβιαστεί και τους οποίους η SocksEscort είχε καταλάβει. «Από το καλοκαίρι του 2020, η SocksEscort προσέφερε πρόσβαση σε περίπου 369.000 διαφορετικές διευθύνσεις IP», αναφέρει το Υπουργείο Δικαιοσύνης των ΗΠΑ. «Τον Φεβρουάριο του 2026, η εφαρμογή SocksEscort περιελάμβανε περίπου 8.000 μολυσμένους δρομολογητές στους οποίους οι πελάτες της μπορούσαν να αγοράσουν πρόσβαση». Η SocksEscort παραβίασε τις συσκευές με ένα κακόβουλο λογισμικό βασισμένο σε Linux, το οποίο ονομάζεται «AVrecon» και το οποίο ο πάροχος υπηρεσιών κυβερνοασφάλειας Lumen Black Lotus Labs είχε επισημάνει το 2023. Τότε, διαπιστώθηκε ότι είχε διεισδύσει σε 70.000 συσκευές, αλλά αργότερα ο αριθμός αυτός αυξήθηκε σε «20.000 θύματα εβδομαδιαίως», με πάνω από τις μισές διευθύνσεις IP να βρίσκονται στις Ηνωμένες Πολιτείες ή στο Ηνωμένο Βασίλειο. Το FBI σημειώνει επίσης: «Η SocksEscort χρησιμοποιεί το κακόβουλο λογισμικό AVrecon για να στοχεύσει περίπου 1.200 μοντέλα συσκευών που κατασκευάζονται από τις Cisco, D-Link, Hikvision, MicroTik, Netgear, TP-Link και Zyxel». (Credit: FBI) Οι διαχειριστές της SocksEscort διέδωσαν το κακόβουλο λογισμικό ανιχνεύοντας συσκευές IoT και δρομολογητές με γνωστές ευπάθειες και στη συνέχεια τις εκμεταλλεύθηκαν για να αποκτήσουν απομακρυσμένη πρόσβαση. «Οι δράστες απειλών τροποποιούν επίσης το firmware για να απενεργοποιήσουν σιωπηλά τις λειτουργίες ενημέρωσης και αναβάθμισης της συσκευής, καθιστώντας εξαιρετικά δύσκολη την αφαίρεση του AVrecon. Αυτού του είδους οι συσκευές είναι ουσιαστικά μόνιμα μολυσμένες με το AVrecon», προσθέτει η προειδοποίηση. «Σε άλλες περιπτώσεις, το AVrecon αναπτύσσεται χωρίς μηχανισμό επιμονής. Εάν μια μολυσμένη συσκευή επανεκκινηθεί, επαναφέρεται σε κανονική κατάσταση και δεν είναι πλέον μολυσμένη από το AVrecon.» Η Europol σημειώνει: «Τα μολυσμένα μόντεμ που χρησιμοποιούνταν για την παροχή της υπηρεσίας proxy έχουν αποσυνδεθεί από την υπηρεσία», μετά την κατάσχεση του διακομιστή. Η προειδοποίηση του FBI περιλαμβάνει τεχνικές λεπτομέρειες για να προσδιοριστεί εάν μια συσκευή είχε μολυνθεί ποτέ από το κακόβουλο λογισμικό. Η υπηρεσία προσθέτει: «Εάν μια συσκευή θεωρείται EOL [end of life] από τον κατασκευαστή της και δεν υποστηρίζεται πλέον, εξετάστε το ενδεχόμενο αντικατάστασής της με ένα μοντέλο που εξακολουθεί να λαμβάνει ενημερώσεις ασφαλείας». Εν τω μεταξύ, η Netgear μας ενημέρωσε ότι «επιδοκιμάζει το FBI για τις ενέργειές του να διακόψει τη λειτουργία του botnet SocksEscort. Ενώ ορισμένες από τις συσκευές μας αναφέρθηκαν ως στόχοι στα αρχικά στάδια της δραστηριότητας του botnet το 2016, ενεργήσαμε άμεσα για την αντιμετώπιση του προβλήματος και είμαστε στην ευχάριστη θέση να ανακοινώσουμε ότι δεν έχουμε καμία ένδειξη ότι ο εξοπλισμός μας εκμεταλλεύτηκε από την SocksEscort από τότε που εφαρμόστηκαν αυτές οι διορθωτικές ενέργειες».
