เมื่อวันที่ 12 พฤษภาคม 2025 หน่วยงานบังคับใช้กฎหมายจากสหรัฐอเมริกาและเนเธอร์แลนด์ ร่วมกับนักวิจัยด้านความมั่นคงไซเบอร์จาก Lumen ประกาศความสำเร็จในการรื้อถอนเครือข่าย Proxy Botnet ขนาดใหญ่ ได้แก่ 5socks และ Anyproxy ซึ่งถูกใช้งานโดยกลุ่มอาชญากรไซเบอร์ในกิจกรรมที่ผิดกฎหมาย เช่น การฉ้อโกงโฆษณา (Ad Fraud), การโจมตีแบบ DDoS และการโจมตีด้วยวิธี Brute-force

เบื้องหลังเครือข่าย Proxy-for-Rent

เว็บไซต์ 5socks.net เคยโฆษณาว่ามี Proxy กว่า 7,000 จุดทั่วโลกให้บริการ ผู้ใช้จ่ายค่าสมัครรายเดือนตั้งแต่ $9.95 จนถึง $110 และอวดอ้างว่าดำเนินธุรกิจมาตั้งแต่ปี 2004 ซึ่งเท่ากับให้บริการมาแล้วกว่า 20 ปี

ขณะเดียวกัน ทางการสหรัฐฯ ได้มีการเปิดเผยคำฟ้องต่อชาวรัสเซีย 3 ราย และชาวคาซัคสถาน 1 ราย ซึ่งเชื่อว่าเป็นผู้ดูแลและทำกำไรจากบริการทั้งสองนี้ โดย Anyproxy ใช้อุปกรณ์เราเตอร์ที่ติดมัลแวร์เป็นตัวกลางในการให้บริการ proxy และสามารถสร้างรายได้มหาศาลมากกว่า $46 ล้านเหรียญสหรัฐ

การแทรกแซงและความเสียหาย

นักวิจัยด้านภัยคุกคามจาก Lumen ภายใต้แล็บ Black Lotus Labs ได้ร่วมมือกับ FBI ในปฏิบัติการ “Operation Moonlander” เพื่อติดตามและเจาะลึกการทำงานของ botnet ดังกล่าว

ข้อค้นพบที่สำคัญ:

• อุปกรณ์ที่ใช้ในเครือข่ายโจมตีส่วนใหญ่เป็นเราเตอร์และอุปกรณ์ IoT รุ่นเก่าที่เลิกสนับสนุนแล้ว (End-of-life) ซึ่งไม่ได้รับการอัปเดตด้านความปลอดภัย
• มัลแวร์ที่ติดอยู่ในอุปกรณ์เหล่านี้คือ TheMoon ซึ่งสามารถสแกนหาเราเตอร์อื่นที่มีช่องโหว่เพื่อขยายเครือข่ายการติดเชื้อ ติดตั้งซอฟต์แวร์ proxy เพิ่ม และติดต่อกับเซิร์ฟเวอร์ควบคุม (C2) อย่างสม่ำเสมอ
• โดเมนของเว็บไซต์บริการถูกควบคุมโดยบริษัทในรัฐเวอร์จิเนีย และโฮสต์อยู่บนเซิร์ฟเวอร์ทั่วโลก โดย เซิร์ฟเวอร์ C2 หลักตั้งอยู่ในประเทศตุรกี

อุปกรณ์ที่ถูกควบคุมส่วนใหญ่อยู่ใน สหรัฐอเมริกา แคนาดา และละตินอเมริกา

คำแนะนำสำหรับผู้ใช้งานและผู้ดูแลระบบ

FBI และนักวิจัยจาก Lumen ออกคำแนะนำเพื่อช่วยลดความเสี่ยงจากภัยคุกคามลักษณะนี้:

• หากใช้อุปกรณ์เราเตอร์หรืออุปกรณ์ IoT รุ่นเก่า ควรเปลี่ยนเป็นรุ่นใหม่ที่ยังได้รับอัปเดตด้านความปลอดภัย
• หากไม่สามารถเปลี่ยนได้ ควรเข้าไป ปิดฟังก์ชันการบริหารอุปกรณ์ระยะไกล (Remote Administration) และ ทำการรีบูตอุปกรณ์เป็นประจำ เพื่อสกัดไม่ให้มัลแวร์ทำงานต่อหลังรีบูต
• สำหรับองค์กร ควร อัปเดตข้อมูล IP ที่เกี่ยวข้องกับเครือข่าย Proxy ผิดกฎหมายอย่างสม่ำเสมอ และ ตั้งระบบบล็อกการเข้าถึงทราฟิก เหล่านี้

แม้ผู้กระทำความผิดทั้งสี่รายจะถูกฟ้องแล้ว แต่ยังไม่มีการยืนยันว่าถูกจับกุมแล้วหรือไม่

บทเรียนสำคัญจากเหตุการณ์นี้คือ การใช้เราเตอร์หรืออุปกรณ์ IoT รุ่นเก่าที่ไม่มีแพตช์ความปลอดภัย ยังคงเป็นหนึ่งในจุดอ่อนหลักที่แฮ็กเกอร์สามารถเจาะเข้าไปได้ง่าย ๆ และใช้มันเป็นฐานในการทำอาชญากรรมไซเบอร์ขั้นรุนแรงได้อย่างต่อเนื่อง