La police néerlandaise et le Centre national de cybersécurité (NCSC) ont mis hors ligne Asocks, une plateforme de proxies résidentiels dont l'infrastructure reposait sur des millions d'appareils de particuliers infectés par un malware, à leur insu.
En fin de mois dernier, une opération conjointe entre l'unité Cybercrime de la police de La Haye et le NCSC a conduit au démantèlement d'Asocks. L'enquête, déclenchée par le signalement d'un chercheur en sécurité, a permis d'identifier 200 serveurs physiquement hébergés aux Pays-Bas et d'en saisir une partie chez un prestataire d'hébergement.
Asocks : un service de proxies bâti sur des appareils infectés
Asocks se présentait comme un service de proxies résidentiels, proposant des abonnements mensuels entre 5 et 15 dollars. Ce service permet de faire transiter du trafic internet via l'adresse IP d'un appareil appartenant à un particulier (smartphone, routeur ou caméra connectée). Ce type de proxy est généralement utilisé pour contourner des restrictions géographiques. Dans le cas d'Asocks, des millions d'appareils composant ce réseau n'y avaient pas adhéré volontairement.
Ils y avaient été enrôlés via un malware de type proxyware, lequel a été installé sur des équipements non sécurisés par des cybercriminels. Ce logiciel malveillant était chargé de connecter l'appareil infecté à l'infrastructure d'Asocks pour le transformer en relais de trafic. Ce réseau servait ensuite à lancer des cyberattaques, pour envoyer des campagnes de phishing et de spam, ou saturer des sites web par des attaques DDoS. Leurs propriétaires n'avaient aucun moyen de détecter que leur connexion était ainsi détournée.
Au total, au moins 17 millions d'équipements ont été compromis à travers le monde. Tous étaient pilotés via ces 200 serveurs. Le lien avec Asocks n'a pas été confirmé officiellement par les autorités néerlandaises, mais rapporté par le média NL Times. Ce genre de détournement est relativement classique. En mars 2024, nous rapportions que plusieurs applications VPN gratuites sur Android dissimulaient un malware. Ces apps intégraient ProxyLib, un SDK développé par LumiApps, lequel connectait les appareils infectés à des réseaux de proxies résidentiels. Les chercheurs de Human Security avaient alors établi un lien probable avec Asocks.
Le prestataire d'hébergement a désactivé les serveurs après confirmation de leur usage criminel, tandis que la police en a saisi plusieurs pour analyse forensique. Le NCSC recommande de remplacer les mots de passe par défaut des équipements connectés et routeurs, de sécuriser son réseau Wi-Fi en WPA2 ou WPA3, de maintenir les systèmes à jour et d'activer l'authentification à deux facteurs dès que l'option est disponible.
