Пару лет назад SystemBC был скучным инструментом в арсенале преступников: тихий, ненавязчивый, превращал заражённые машины в SOCKS5-прокси и делал свою грязную работу. Сегодня это уже почти стартап — только вместо кофе-машины в офисе у них пул из тысяч VPS, который сдаётся в аренду по тарифам хуже, чем у провайдера облаков, но с лучшей анонимностью. Представьте себе Uber для прокси — только водитель в маске, а маршрут приводит не в центр города, а в панель управления злоумышленников.
Что происходит на самом деле: SystemBC охотится за виртуальными серверами и облачными инстансами, потому что они дают скорость, стабильный IP и приличный пропускной канал. Заражённый VPS становится «жертвой-прокси», через которую можно пересылать трафик, рассылая спам, проводя брутфорс WordPress, скрывая источники атак или продавая доступ тем, кто готов платить за «чистый» транзит. REM Proxy и подобные сервисы упаковуют всё это в удобный интерфейс: хочешь 1000 прокси — пожалуйста, хочешь гео-таргетинг и подбор по провайдеру — тоже без проблем. Хакерский юмор: теперь у преступников есть отдел продаж, KPI и корпоративный слоган «прокси как услуга — никаких вопросов, только платёжные реквизиты».
Проблема в том, что большинство таких VPS остаются заражёнными долго — недели, иногда месяцы. Админы не патчат, пароли хранятся как «welcome123», а мониторинга почти нет. Зачем скрываться на ноутбуке у бабушки дома, если можно спокойно шуметь с VPS в американском дата-центре и не бояться, что мама пожалуется провайдеру? Практически каждый сервер содержит десятки известных уязвимостей — у некоторых десятки, у одного даже сотни — и это идеальная цель для автоматических скриптов наборщика ботнета.
Как используются эти прокси? Представь себе криминальную версию маркетплейса: один покупатель использует сеть для массовой рассылки фишинга, другой — для взлома сайтов методом перебора паролей, третий арендует прокси для скрытия источника DDoS-атаки. В портфеле REM Proxy также часто есть «пакеты» с Mikrotik-роутерами и публичными прокси — всё это упаковано и продаётся как услуга. Хакерский коммент: если раньше трейдеры арендовали VPS из-за скорости, то теперь киберпреступники арендуют их из-за безответственности админов.
Почему это хуже, чем ботнет на домашних устройствах? Потому что VPS — это сервер с приличным каналом и долгим «веком» компрометации. Это не смартфон, который выключат или обновят, и не ноутбук, который хозяин однажды заметит и перезагрузит — VPS чаще всего висит себе в облаке, выполняя скрипты, и никто про него не вспоминает. Борьба с такими ботнетами требует взаимодействия с провайдерами, takedown’ов, юридической работы и иногда физических процедур — это дорого и медленно. Шутка для админов: представьте, что у вас на сервере живёт незваный комнатный сосед, который платит за интернет и приносит хамон, но ещё и майнит на вас крипту — неприятно, но сначала вы завидуете его стабильности.
Что делать прямо сейчас (кратко, но полезно): сканировать VPS на наличие известных уязвимостей, контролировать исходящий трафик и аномалии, ужесточить SSH (ключи вместо паролей), включить rate-limit и блокировать подозрительные гео-локации, быстро реагировать на инциденты и иметь план восстановления. И пожалуйста, замените «password123» на что-то, что не увидят даже в сказке о белом хакере. Хакер-лайфхак для менеджеров: если вы видите всплеск исходящего трафика из сервера в три часа ночи — это не признак того, что ваш дата-центр переосмысляет производительность, а скорее знак, что кто-то устроил там вечеринку без приглашения.
Вывод простой: SystemBC показал, что ботнеты эволюционировали от «собирания лавки» до промышленного уровня — VPS-парки стали товаром, а REM Proxy — маркетплейсом для преступной экономики. Защитникам это должно дать понять: нужно смотреть на серверы не только как на ресурс, но и как на потенциальную точку утечки, и действовать соответственно. Заключительная шутка: в мире, где VPS продают в кредит, главное правило безопасности остаётся прежним — не давать чужим подписываться на ваш Wi-Fi, а уж тем более на root.
Берегите себя и своих близких.
📘 Понравилась статья?
Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.
