Több mint 3 millió dollárnyi kriptót fagyasztottak be a SocksEscort botnet felszámolásakor
Cikk meghallgatása
Nemzetközi hatósági összefogás eredményeként március 11-én felszámoltak egy nagyszabású kiberbűnözői proxyhálózatot, a SocksEscortet, amely több százezer feltört routert használt bűncselekmények leplezésére. Az Europol által koordinált Operation Lightning művelet során a részt vevő hatóságok hét országban összesen 34 domaint és 23 szervert foglaltak le, miközben az amerikai hatóságok 3,5 millió dollár értékű kriptovalutát fagyasztottak be.
Az akció nemcsak a közvetlen pénzügyi károkat korlátozta, hanem arra is rávilágít, milyen kockázatot jelentenek a lakossági eszközökre épülő botnetek, amelyek egyre gyakrabban kapcsolódnak kriptovalutás csalásokhoz.
Mi volt a SocksEscort és hogyan működött?
A SocksEscort egy fizetős proxy-szolgáltatás volt, amely kiberbűnözők számára kínált hozzáférést több mint 369 ezer feltört eszközhöz 163 országban. A hálózat főként lakossági routereket és kisebb vállalati hálózati eszközöket fertőzött meg.
A fertőzéseket az AVRecon nevű malware végezte, amely lehetővé tette a támadók számára, hogy saját IP-címük helyett a kompromittált eszközökét használják. Ez jelentősen megnehezítette a támadások visszakövetését, mivel a bűnözők a „zombigépek” hálózatán keresztül hajtották végre műveleteiket.
A szolgáltatás évente több mint 35 ezer proxy-hozzáférést biztosított ügyfeleinek, és egy hozzá kapcsolódó fizetési platform több mint 5 millió dollárnyi kriptovalutát dolgozott fel.
A botnetet 2025 júniusában kezdte vizsgálni az Europol Cyberaction Task Force csapata. A nyomozás során kiderült, hogy a hálózatot többféle bűncselekmény támogatására használták, többek között ransomware-támadásokhoz, DDoS-akciókhoz, fiókfeltörésekhez, valamint gyermekbántalmazási tartalmak terjesztésének elfedésére.
Az Egyesült Államok Kelet-Kaliforniai Körzeti Ügyészsége szerint februárban közel 18 ezer fertőzött router volt aktívan elérhető a szolgáltatáson keresztül, ebből mintegy 2500 amerikai eszköz. A működés jól illeszkedik a klasszikus botnetmodellekhez, hiszen nagyszámú fertőzött eszközt használnak fel központilag irányított infrastruktúraként. A különbség az volt, hogy ebben az esetben a proxy-szolgáltatás volt a fő üzleti modell, nem pedig a kriptobányászat.
A művelet részletei és a résztvevők
Az Operation Lightning műveletben nyolc ország hatóságai vettek részt: Ausztria, Bulgária, Franciaország, Németország, Hollandia, Románia, Magyarország és az Egyesült Államok. A műveletet az Europol és a Eurojust koordinálta.
A hatóságok 23 szervert és 34 domaint foglaltak le, miközben a nyomozást több magánszektorbeli partner is támogatta, köztük a Lumen Black Lotus Labs és a Shadowserver Foundation.
Az FBI szerint a hálózathoz köthető károk összértéke több tízmillió dollárra tehető. Ezek között banki csalások, kriptotőzsdék elleni támadások és különböző online csalási módszerek is szerepeltek.
Az amerikai hatóságok konkrét eseteket is említenek, egy New York-i kriptotőzsdei ügyfél például 1 millió dollárt, egy pennsylvaniai gyártó 700 ezer dollárt, egy volt katona pedig 100 ezer dollárt veszített.
Catherine De Bolle, az Europol igazgatója szerint az ilyen akciók jól mutatják, hogy a nemzetközi együttműködés kulcsfontosságú a kiberbűnözés infrastruktúrájának felszámolásában. A nyomozásban magyar hatóságok is részt vettek, ami különösen fontos a régióban található fertőzött eszközök száma miatt.
Mit jelent ez a kriptovilág számára?
A SocksEscort működése több ponton kapcsolódott a kriptovalutákhoz. A szolgáltatás fizetései kriptóban történtek, és a lefoglalt vagy befagyasztott eszközök értéke összesen 3,5 millió dollár volt.
Az eset jól mutatja, hogy a proxyhálózatok hogyan segíthetik a blokklánc-alapú csalásokat. A támadók ilyen infrastruktúrával például wallet-ek feltörését, kriptotőzsdék elleni támadásokat vagy egyéb online csalásokat hajthatnak végre úgy, hogy közben elrejtik valódi hálózati azonosítóikat.
A hálózat felszámolása rövid távon megzavarhatja az ilyen csoportok működését, ugyanakkor a szakértők szerint hasonló szolgáltatások viszonylag gyorsan újra megjelenhetnek, ha a lakossági eszközök biztonsága nem javul.
Pozitívum, hogy az akció csökkentheti a kriptopiaci kockázatokat, mivel nehezebbé teszi a csalók számára az online tevékenységük elfedését. Emellett azt is mutatja, hogy a hatóságok egyre fejlettebb blokklánc-elemző eszközöket használnak a kriptotranzakciók nyomon követésére.
Ugyanakkor a botnetek továbbra is viszonylag alacsony belépési küszöbbel működhetnek, mivel sok lakossági router elavult firmware-rel fut, és ritkán frissítik őket. Ez megkönnyíti az új fertőzések kialakulását.
Mi várható a jövőben?
A SocksEscort felszámolása figyelmeztetés a kriptopiac szereplőinek is. A decentralizált pénzügyi rendszerek vonzereje miatt a kiberbűnözők várhatóan továbbra is proxyhálózatokat és botneteket használnak majd tevékenységük elfedésére.
Ugyanakkor az ilyen nemzetközi műveletek azt mutatják, hogy a hatóságok egyre hatékonyabban működnek együtt a digitális bűnözés elleni küzdelemben. A jövőben várhatóan nagyobb hangsúlyt kap a lakossági eszközök védelme is, például a routerek firmware-frissítéseinek ösztönzésével.
A kriptovaluták felhasználói számára mindez emlékeztető arra, hogy a biztonsági alaplépések, például a kétfaktoros hitelesítés és a hardware wallet-ek használata továbbra is kulcsfontosságúak az online támadások elleni védekezésben.
Hosszabb távon a blokkláncok átláthatósága segíthet a pénzmozgások nyomon követésében, de a botnetek fejlődése továbbra is folyamatos kihívást jelent a kiberbiztonsági szakemberek számára.