近期，美执法部门捣毁了一个僵尸网络，该网络在过去20年里感染了数千台路由器，建立了两个名为Anyproxy和5socks的住宅代理网络。

在这次被称为“月球登陆者行动”的联合行动中，美国当局与荷兰国家警察、荷兰公诉署和泰国皇家警察的检察官和调查人员以及Lumen Technologies的黑莲花实验室（Black Lotus Labs）的分析师合作。

相关文件显示，至少从2004年起，这个现已被拆除的僵尸网络就用恶意软件感染了全球范围内较旧的无线互联网路由器，允许未经授权访问受感染的设备，这些设备可以作为代理服务器在Anyproxy.net和5socks.net上出售。这两个域名由弗吉尼亚州的一家公司管理，并托管在全球的服务器上。

僵尸网络控制者需要加密货币进行支付。用户无需身份验证就可以直接与代理连接，正如之前的案例所记录的那样，这可能导致广泛的恶意分子获得免费访问权限。

考虑到来源范围，只有大约10%的病毒在流行的工具（如VirusTotal）中被检测到是恶意的，这意味着它们一直在高度成功地避开网络监控工具。此类代理旨在帮助隐藏一系列非法活动，包括广告欺诈、DDoS攻击、暴力破解或利用受害者数据。

据悉，他们的用户根据所要求的服务，每月支付9.95美元到110美元不等的订阅费。该网站的口号是”从2004年开始工作！“表明这项服务确实已经提供了20多年。

这四名被告在包括一些网络犯罪分子使用的网站在内的多个网站上，将这两种服务（推广了 7000 多个代理）宣传为住宅代理服务，据称他们通过出售提供访问 Anyproxy 僵尸网络中受感染路由器权限的订阅服务，非法获利超过 4600 万美元。

他们利用在俄罗斯互联网托管服务提供商 JCS Fedora Communications 注册并托管的服务器运营 Anyproxy.net 和 5socks.net 这两个网站。他们还使用荷兰、土耳其及其他地区的服务器来管理 Anyproxy 僵尸网络以及这两个网站。

5Socks.net查封的横幅

针对EoL路由器

联邦调查局还发布了一份flash公告和一份公共服务公告，称这个僵尸网络的目标是带有TheMoon恶意软件变种的补丁终了路由器。

联邦调查局警告说，攻击者正在安装代理，以便在网络犯罪租赁活动、加密货币盗窃攻击和其他非法行动中逃避检测。

通常被僵尸网络攻击的设备列表包括Linksys和Cisco路由器型号，包括：

·Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550

·Linksys WRT320N, WRT310N, WRT610N

·Cisco M10 and Cradlepoint E100

根据最新发现，一些使用寿命即将结束的路由器被发现受到了新版TheMoon恶意软件的攻击，这些路由器开启了远程管理功能。这种恶意软件允许恶意分子在毫无戒心的受害者路由器上安装代理，并匿名进行网络犯罪。

这种住宅代理服务对犯罪黑客在实施网络犯罪时提供匿名服务特别有用；与商业ip地址相反，住宅ip地址通常被互联网安全服务认为更有可能是合法的流量。通过这种方式，同谋者从出售被入侵路由器的访问权中获得了私人经济利益。

参考及来源：https://www.bleepingcomputer.com/news/security/police-dismantles-botnet-selling-hacked-routers-as-residential-proxies/