Независимый исследователь безопасности первым поднял тревогу. Голландская полиция передала информацию команде по борьбе с киберпреступностью. Национальный центр кибербезопасности Нидерландов (NCSC) координировал ответные меры. Результатом стало конфискация 200 серверов у местного хостинг-провайдера, отключение криминальной сети и более 17 миллионов скомпрометированных устройств, которые до этого момента использовались для атак на третьих лиц без ведома их владельцев.
Операция, объявленная 28 мая 2026 года, является одним из крупнейших случаев пресечения деятельности вредоносного ПО за последнее время. Название сети официально не разглашалось, однако нидерландская газета NL Times связала ее с ASOCKS — российским коммерческим сервисом резидентных прокси, рекламирующим 7 миллионов IP-адресов, присутствие в 150 странах и более 100 000 клиентов.
Что такое резидентный прокси и почему это так опасно
Чтобы понять, что делала эта сеть, необходимо разобраться в бизнесе резидентных прокси.
Резидентный прокси направляет интернет-трафик через устройство реального пользователя — домашний компьютер, мобильный телефон, IP-камеру безопасности, маршрутизатор — вместо сервера в центре обработки данных. В результате трафик, исходящий с такого устройства, выглядит так, будто он исходит от легитимного домашнего пользователя, а не от злоумышленника.
Это имеет законное применение — тестирование геолокации для рекламы, проверка цен на различных рынках — но также является идеальным инструментом для киберпреступников: DDoS-атаки, спам-кампании,credential stuffing (массовая проверка украденных паролей), фишинг, рекламное мошенничество и распространение вредоносного ПО. Когда атака исходит от миллионов реальных резидентных IP-адресов, системам обнаружения гораздо сложнее ее выявить.
Голландский NCSC опубликовал техническое уведомление накануне операции, точно указав на эту проблему: трафик резидентных прокси смешивает злонамеренную активность с обычным домашним трафиком, что заставляет системы безопасности доверять ему больше, чем трафику, поступающему из центров обработки данных или анонимных VPN.
Устройства, составлявшие сеть — компьютеры, планшеты, смартфоны, маршрутизаторы, умные камеры и другие IoT-устройства — были заражены вредоносным ПО без ведома их владельцев. В некоторых случаях заражение происходило из-за неустраненных уязвимостей программного обеспечения; в других — из-за вредоносных приложений, которые мелким шрифтом объявляли об использовании в качестве прокси или вовсе скрывали это.
Почему конфискации серверов недостаточно
Вот в чем проблема, о которой не говорят заголовки об этой операции: 200 серверов управляли сетью, но 17 миллионов зараженных устройств так и остались зараженными.
Отключение инфраструктуры командно-контрольных пунктов (C2) останавливает связь между ботами и их операторами. Но отдельные устройства не очищаются сами. Они останутся зараженными до тех пор, пока их владельцы не сбросят их до заводских настроек, не установят обновления, устраняющие исходную уязвимость, или пока их не обнаружит антивирус. Во многих случаях, особенно на IoT-устройствах, таких как старые камеры или маршрутизаторы, этого не происходит никогда.
Кроме того, группы киберпреступников способны восстановить инфраструктуру за считанные недели. NCSC не раскрыл, какое именно вредоносное ПО использовалось сетью, и какие уязвимости оно эксплуатировало для заражения устройств, что затрудняет для пострадавших возможность узнать, были ли они скомпрометированы.
ASOCKS работает в обычном режиме на момент публикации данной статьи, хотя неясно, пережили ли части сети эту операцию.
Повторяющийся шаблон: ASOCKS — не первая и не последняя
Эта операция следует повторяющемуся шаблону. Год назад власти США и Нидерландов ликвидировали 5socks и Anyproxy, два аналогичных сервиса сдачи прокси в аренду, используемых киберпреступниками. В этом году силы нескольких европейских и американских стран также ликвидировали SocSEscort. ASOCKS уже попадала в поле зрения компании по кибербезопасности HUMAN Security в 2024 году, когда она связала ее с ботнетом Proxylib после обнаружения зараженных устройств, направлявших свой трафик через инфраструктуру ASOCKS.
Генеративный ИИ ускоряет киберпреступность в Европе по всем направлениям: больше персонализированного фишинга, больше вредоносного ПО, производимого в масштабе, больше автоматизации credential stuffing. Резидентные ботнеты являются транспортным средством для всего этого. Пока существуют миллионы IoT-устройств с устаревшим прошивочным ПО, бизнес вредоносных резидентных прокси останется прибыльным.
Коренная проблема структурная: производители потребительского оборудования не имеют регуляторных стимулов гарантировать безопасность своих устройств на протяжении всего срока их службы. Маршрутизатор 2018 года по-прежнему подключен во многих домах. Если его прошивочное ПО имеет уязвимости, а производитель прекратил поддержку, такое устройство становится постоянным кандидатом на роль узла следующего ботнета.
Кибербезопасность, управляемая ИИ, — это ответная мера с оборонительной стороны, но у нее есть очевидный предел: если скомпрометированные устройства — это бытовая техника с прошивкой, которую никто не обновляет, ни один SOC в мире не сможет защитить их снаружи.
Моя оценка
Операция голландской полиции технически впечатляет. Идентификация, локализация и конфискация 200 серверов у одного хостинг-провайдера — это разведывательная и юридическая координационная работа, требующая месяцев. То, что она была инициирована сообщением от отдельного исследователя безопасности, является напоминанием о том, насколько важны каналы сообщения в правоохранительные органы.
Что меня больше всего убеждает в операции — это скоординированный ответ полиции и NCSC с техническим уведомлением, опубликованным до официального объявления, чтобы сетевые администраторы могли подготовиться. Это институциональная зрелость.
Что меня больше всего беспокоит — это асимметрия результата: конфискация серверов не очищает 17 миллионов устройств. У NCSC нет механизма уведомления владельцев этих устройств, и большинство из них никогда не узнает, что их камера видеонаблюдения или маршрутизатор месяцами была соучастником DDoS-атак.
Наиболее структурно значимым является то, что бизнес-модель резидентных прокси, открыто продаваемая по цене от 5 до 15 долларов в месяц, остается законной во многих юрисдикциях, пока поставщики делают вид, что не знают о конечном использовании. Пока это не изменится, экономика ботнетов не исчезнет.
Парадокс, который подчеркивают данные о занятости в сфере кибербезопасности, заключается в том, что каждая подобная операция требует больше аналитиков, а не меньше: для расследований, для координации с международными властями, для управления последующей коммуникацией. Киберпреступность и киберзащита растут вместе.
Часто задаваемые вопросы
Как узнать, является ли мое устройство частью ботнета?
Наиболее распространенные симптомы — необъяснимое замедление работы, необычно высокое потребление батареи или процессора, сетевой трафик в часы, когда устройство должно быть неактивно, и непредсказуемое поведение при подключении. На компьютерах обновленный антивирус может обнаружить многие инфекции. На маршрутизаторах и IoT-устройствах это сложнее: наиболее надежный вариант — сбросить прошивку до заводских настроек и установить последнюю официальную версию от производителя, если она существует.
Что такое ASOCKS и что он предлагает?
ASOCKS — это российский коммерческий сервис резидентных и мобильных прокси, который продает доступ к IP-адресам реальных пользователей для маршрутизации интернет-трафика. Он рекламируется как «универсальный прокси-сервис» с 7 миллионами IP-адресов в 150 странах. Голландская полиция связала его инфраструктуру с криминальной сетью, которая заражала устройства без согласия их владельцев.
Что должны сделать власти, чтобы подобные сети не создавались снова?
Эксперты сходятся во мнении по двум направлениям: юридическая ответственность производителей оборудования за поддержку безопасности в течение всего срока службы устройства и более строгое регулирование рынка коммерческих резидентных прокси для требования проверки того, что узлы сети дали информированное согласие. Без этих двух мер ликвидация ботнета — это всего лишь отсечение головы гидре.