Démantèlement de Socksescort : un réseau de proxys basé sur 1 million de modems infectés
Les autorités européennes et américaines ont démantelé Socksescort, un réseau de proxys exploitant 1 million de modems infectés par le malware AVRecon, générant 5 millions d'euros de revenus.
Un réseau de proxys basé sur des modems compromis
Socksescort, un service de location d'adresses IP résidentielles, a été démantelé après une opération conjointe des autorités. Le réseau reposait sur plus d'un million de modems infectés par le malware AVRecon, un logiciel malveillant spécialisé dans la prise de contrôle à distance des routeurs domestiques.
AVRecon : le malware derrière l'infrastructure
AVRecon, développé en langage C++, est un malware modulaire capable d'infecter des modems de différentes marques (TP-Link, D-Link, etc.). Il exploite des vulnérabilités non corrigées pour s'installer en tant que service persistant, permettant aux attaquants de rediriger le trafic réseau et d'utiliser les adresses IP comme proxys anonymes.
Architecture du réseau Socksescort
Le réseau fonctionnait comme un service de proxys à la demande, avec une infrastructure centralisée gérée via des serveurs basés en Europe et aux États-Unis. Les clients payaient pour accéder à des adresses IP résidentielles, utiles pour contourner les restrictions géographiques ou masquer des activités malveillantes.
Impact financier et opérationnel
Selon les estimations, Socksescort aurait généré plus de 5 millions d'euros de revenus. Les autorités ont saisi plusieurs serveurs et identifié des centaines de clients, dont des cybercriminels et des acteurs de la fraude en ligne.
Sécurité des modems : un problème persistant
L'affaire souligne les risques liés aux modems non sécurisés. De nombreux appareils domestiques restent vulnérables en raison de mots de passe par défaut non modifiés ou de mises à jour logicielles absentes. Les fabricants sont critiqués pour leur manque de réactivité face à ces menaces.
Réactions des autorités et recommandations
Les agences de cybersécurité recommandent aux utilisateurs de changer les mots de passe par défaut, de désactiver le télémaintenance et de mettre à jour régulièrement le firmware de leurs modems. Les fournisseurs d'accès Internet (FAI) sont également incités à renforcer la sécurité de leurs infrastructures.
Un coup dur pour le marché des proxys illicites
Si le démantèlement de Socksescort est une victoire pour les autorités, il rappelle que les réseaux de proxys illicites restent une menace majeure. Les cybercriminels trouveront toujours des moyens de contourner les restrictions, mais cette opération montre que la coopération internationale peut porter ses fruits. Reste à savoir combien de temps avant qu'un nouveau réseau ne prenne la relève...