Americké a evropské bezpečnostní složky oznámily rozsáhlý zásah proti službě SocksEscort, kterou podle vyšetřovatelů využívali kyberzločinci k maskování své identity při podvodech včetně útoků na kryptoměnové účty. Operace vedla k zabavení desítek domén a serverů a také ke zmrazení milionů dolarů v kryptoměnách. Případ znovu ukazuje, jak úzce se dnes propojují kyberkriminalita, anonymizační infrastruktura a digitální aktiva.
Podle amerického ministerstva spravedlnosti šlo o škodlivou proxy službu, která od roku 2020 pomáhala zločincům skrývat skutečné IP adresy a ztěžovala jejich odhalení. Vyšetřovatelé uvádějí, že síť kompromitovala nejméně 369 000 routerů a dalších zařízení připojených k internetu ve 163 zemích. Tato zařízení pak měla sloužit jako prostředníci pro nelegální aktivity, mezi nimiž figurovaly i převzetí kryptoměnových účtů.
Jak SocksEscort fungoval
SocksEscort byl podle úřadů provozován jako proxy platforma, která zákazníkům poskytovala digitální krytí pro online útoky a podvodné operace. Zločinci díky ní mohli vystupovat pod cizími IP adresami a skrývat svůj skutečný původ, což je při útocích na burzy, peněženky nebo bankovní služby zásadní výhoda. Právě anonymizační infrastruktura tohoto typu často stojí v pozadí finančních podvodů i krádeží kryptoměn.
Podle vyšetřovacích orgánů byla síť postavena na zneužití velkého množství napadených zařízení. Nešlo tedy o běžnou komerční proxy službu, ale o systém, který měl být napájen malwarem a kompromitovanou infrastrukturou po celém světě. Europol upozornil, že přístup ke službě bylo možné nakupovat anonymně prostřednictvím platební platformy podporující kryptoměny. To výrazně usnadňovalo využití služby klienty, kteří chtěli minimalizovat stopy po platbách i po své identitě.
Zabavené domény, servery i kryptoměny
Během koordinované akce úřady zabavily 34 domén a narušily provoz přibližně dvou desítek serverů rozmístěných v sedmi zemích. Kromě toho bylo zmrazeno zhruba 3,5 milionu dolarů v kryptoměnách, které byly podle úřadů spojeny s provozem celé operace. Takový zásah je významný nejen z hlediska okamžitého omezení činnosti sítě, ale i jako signál, že digitální aktiva používaná v kyberkriminalitě nejsou mimo dosah mezinárodního práva.
Vyšetřovatelé zároveň odhadují, že služba od svých uživatelů získala nejméně 5 milionů eur, tedy přibližně 5,7 milionu dolarů. To naznačuje, že šlo o dobře fungující a poptávanou infrastrukturu s globálním dosahem. Finanční tok v řádu milionů eur potvrzuje, že anonymní proxy služby představují důležitou součást ekonomiky kyberzločinu.
Dopad na kryptoměnové uživatele
Případ je důležitý i pro držitele kryptoměn, protože úřady výslovně zmiňují převzetí kryptoměnových účtů jako jednu z forem kriminality, kterou SocksEscort umožňoval. V jednom z citovaných případů přišla oběť v New Yorku podle žalobců o přibližně 1 milion dolarů v kryptoměnách. Takové útoky obvykle kombinují technické průniky, krádeže přihlašovacích údajů, sociální inženýrství a infrastrukturu, která útočníkům pomáhá zamést stopy.
Pro kryptoměnový sektor je podstatné, že podobné útoky necílí jen na samotný blockchain, ale především na uživatelské účty, burzy, směnárny a přístupové mechanismy. Pokud útočník získá přístup k e-mailu, telefonu nebo burzovnímu účtu a zároveň dokáže skrýt svou polohu a identitu přes síť kompromitovaných zařízení, výrazně se zvyšuje šance na úspěšnou krádež. Bezpečnost kryptoměn tak často závisí více na ochraně přístupových údajů a zařízení než na samotné síti blockchainu.
Mezinárodní operace napříč Evropou a USA
Rozbití SocksEscort bylo výsledkem koordinované mezinárodní akce, do níž se zapojily úřady z Rakouska, Francie, Nizozemska, Německa, Maďarska, Rumunska a Spojených států. Na americké straně se účastnila mimo jiné kancelář FBI v Sacramentu, vyšetřovací služba generálního inspektora ministerstva obrany a kriminální vyšetřování daňové správy IRS v Oaklandu. Europol a Eurojust poskytly podporu při přeshraničním vyšetřování i samotném operačním zásahu.
Šéfka Europolu Catherine De Bolle uvedla, že proxy služby jako SocksEscort poskytují zločincům digitální krytí potřebné k útokům, šíření nelegálního obsahu a vyhýbání se detekci. Zároveň zdůraznila, že právě mezinárodní spolupráce umožňuje odhalit a uzavřít infrastrukturu, na níž kyberkriminalita stojí. Tento komentář dobře vystihuje proměnu moderního vyšetřování, kde úspěch stále více závisí na sdílení technických dat, forenzních stop a finančních informací mezi více státy.
Roli sehrály i soukromé bezpečnostní týmy
Ministerstvo spravedlnosti poděkovalo také organizacím Black Lotus Labs a Shadowserver Foundation za technickou podporu během vyšetřování. Black Lotus Labs je zpravodajská jednotka telekomunikační společnosti Lumen Technologies zaměřená na analýzu kybernetických hrozeb. Právě tato skupina už dříve veřejně popsala detaily malwaru AVrecon, který měl být se službou SocksEscort spojen.
Podle informací zveřejněných serverem The Hacker News síť SocksEscort využívala právě malware AVrecon. Jeho technická dokumentace byla publikována už v červenci 2023, což naznačuje, že bezpečnostní komunita měla o části infrastruktury povědomí delší dobu. Případ ukazuje, jak důležitá je spolupráce veřejného a soukromého sektoru při rozkrývání kybernetických operací, které zasahují i kryptoměnové prostředí.
Proč je zásah důležitý pro celý trh
Rozbití jedné konkrétní sítě samo o sobě kyberkriminalitu neukončí, ale může významně zvýšit náklady a složitost pro útočníky, kteří se spoléhají na anonymní infrastrukturu. Když úřady zabaví domény, servery a finanční prostředky, oslabí nejen technické zázemí skupiny, ale i důvěru jejích klientů. To je důležité zejména u služeb, které fungují jako podpůrná vrstva pro další trestnou činnost včetně kryptopodvodů, phishingu nebo převzetí účtů.
Pro investory a běžné uživatele je hlavním poučením nutnost důsledné ochrany účtů, používání dvoufaktorového ověření, hardwarových peněženek a oddělených e-mailových adres pro citlivé služby. Zásahy proti podobným sítím sice zvyšují bezpečnost prostředí, ale odpovědnost za ochranu přístupu ke kryptoměnám zůstává z velké části na samotných uživatelích. Kombinace silné osobní bezpečnosti a aktivního postupu úřadů je dnes nejúčinnější obranou proti stále sofistikovanějším formám digitální kriminality.
