Исследовательская группа Infrawatch с высокой степенью достоверности установила, что сервис DSLRoot развернул распределенную сеть резидентских прокси через американскую инфраструктуру, используя физическое оборудование, размещенное как минимум в 20 штатах. Сеть управляется оператором, связанным с Восточной Европой, что вызывает озабоченность в контексте размещения прокси-устройств в частных домах США, включая резиденции военнослужащих.
Описание
Поводом для расследования стал инцидент 8 августа 2025 года, когда в публичном форуме появилось сообщение от военнослужащего Киберподразделения ВВС Национальной гвардии Огайо, который неосознанно разместил у себя дома оборудование, контролируемое из-за рубежа. В отличие от типичных прокси-провайдеров, использующих мобильные SDK, DSLRoot применяет выделенные аппаратные решения, обеспечивая постоянный доступ к домашним сетям США. Основными интернет-провайдерами, через которые работает сеть, являются CenturyLink (Lumen) и Frontier.
Технический анализ показал, что DSLRoot использует специализированное программное обеспечение для автоматизированного удаленного управления потребительскими модемами (ARRIS/Motorola, Belkin, D-Link, ASUS) и Android-устройствами через ADB. Это позволяет осуществлять ротацию IP-адресов и контролировать подключения. Сеть функционирует без аутентификации, предоставляя клиентам возможность анонимно маршрутизировать трафик через американские резидентские IP-адреса.
Сервис активно рекламируется на платформе BlackHatWorld, где предлагает физические резидентские ADSL-прокси. Услуга охватывает более 20 штатов США, включая Восточное и Западное побережья, а также Средний Запад. Стоимость доступа составляет 190 долларов в месяц без ограничений по локациям, с возможностью долгосрочной подписки.
Исследователи обнаружили, что инфраструктура DSLRoot прошла несколько этапов развития. С 2012 по 2022 год сервис размещался на платформе Ecatel (известной как «пуленепробиваемый хостинг»), а затем мигрировал на мощности Hivelocity (AS40244). Анализ также выявил связанные сервисы, включая выпуск виртуальных кредитных карт и услуги по регистрации компаний, ориентированные на англо- и русскоязычную аудиторию.
Клиентское программное обеспечение DSLRoot, разработанное на Delphi, создается индивидуально для каждого пользователя и включает идентификатор учетной записи. ПО запускает локальный SOCKS5-сервер на 127.0.0.1:3129, который перенаправляет трафик через выбранный публичный прокси-IP. Для браузеров Chromium применяются специфические флаги командной строки, отключающие DNS-over-HTTPS и другие функции, чтобы предотвратить утечки реального местоположения пользователя.
Аппаратная часть сети состоит из модифицированных модемов и компьютеров, которые перезагружают оборудование для принудительной смены IP-адресов через механизмы DHCP. DSLRoot использует уязвимости и стандартные учетные данные производителей для удаленного управления устройствами. Поддержка Android через ADB позволяет контролировать мобильные подключения, что согласуется с предложениями 4G-прокси на сайте сервиса.
Эксперты отмечают, что подобные сети могут представлять операционные риски, поскольку позволяют злоумышленникам маскировать источник атаки или доступа под доверенными резидентскими IP-адресами. Размещение оборудования в домах военнослужащих добавляет дополнительный контекст к потенциальным угрозам национальной безопасности.
Индикаторы компрометации
IPv4
- 174.21.130.228
- 174.21.135.74
- 174.21.139.120
- 174.21.141.184
- 174.21.142.68
- 174.21.65.156
- 174.21.67.136
- 174.21.68.182
- 174.21.69.216
- 174.21.77.44
- 174.21.93.136
- 174.24.125.142
- 174.24.125.185
- 174.24.125.91
- 174.24.126.156
- 174.24.69.61
- 174.24.71.223
- 174.24.75.254
- 174.24.81.236
- 174.24.85.141
- 174.24.93.125
- 174.27.15.121
- 174.27.164.234
- 174.27.166.40
- 174.27.169.221
- 174.27.172.22
- 174.27.174.36
- 174.27.175.118
- 174.27.184.26
- 174.27.185.147
- 174.27.2.170
- 174.27.21.3
- 174.27.22.234
- 174.27.23.138
- 174.27.27.153
- 174.27.6.115
- 174.27.68.63
- 174.27.7.237
- 174.27.8.191
- 174.27.84.225
- 174.27.93.125
- 174.27.93.126
- 184.99.16.19
- 184.99.17.136
- 184.99.24.110
- 184.99.30.207
- 184.99.31.135
- 184.99.31.87
- 184.99.36.76
- 184.99.38.143
- 184.99.75.122
- 184.99.75.205
- 184.99.75.7
- 184.99.76.225
- 184.99.76.29
- 199.16.55.252
- 50.126.136.30
- 63.153.130.10
- 63.153.130.143
- 63.153.136.245
- 63.153.138.236
- 63.153.141.231
- 63.153.142.130
- 63.153.143.146
- 63.153.145.156
- 63.153.155.145
- 63.153.159.36
- 63.153.165.108
- 63.153.165.79
- 63.153.176.21
- 63.153.176.7
- 63.155.123.193
- 63.155.123.194
- 63.155.32.13
- 63.155.36.199
- 63.155.38.5
- 63.155.45.252
- 63.155.46.252
- 63.155.47.207
- 63.155.47.23
- 63.155.50.20
- 63.155.51.104
- 63.155.52.20
- 63.155.55.243
- 63.155.55.56
- 63.155.60.236
- 63.155.63.193
- 63.155.96.237
- 63.155.96.240
- 63.155.96.243
- 63.155.96.245
- 63.227.244.12
- 65.101.169.225
- 65.128.42.184
- 65.128.42.185
- 65.128.43.182
- 67.2.165.121
- 67.2.176.236
- 67.2.187.148
- 67.2.189.159
- 67.2.192.114
- 67.2.213.117
- 67.2.217.74
- 67.2.221.186
- 67.2.242.204
- 67.2.242.214
- 67.2.248.109
- 67.2.248.148
- 67.42.78.217
- 70.59.195.250
- 70.59.205.232
- 70.59.205.36
- 71.212.151.54
- 71.212.157.54
- 71.212.33.239
- 75.161.249.194
- 75.162.12.7
- 75.162.13.166
- 75.162.21.24
- 75.162.23.82
- 75.162.24.117
- 75.162.3.165
- 75.162.39.103
- 75.162.39.106
- 75.162.39.109
- 75.162.39.111
- 75.162.39.119
- 75.162.39.42
- 75.162.39.49
- 75.162.39.51
- 75.162.39.63
- 75.162.39.96
- 75.162.4.210
- 75.162.61.0
- 75.162.61.135
- 75.162.61.34
- 75.162.61.45
- 75.162.61.66
- 75.162.61.7
- 75.162.61.72
- 75.162.61.93
- 75.162.61.99
- 75.162.7.48
- 75.168.114.23
- 75.168.114.231
- 75.168.115.198
- 75.168.115.230
- 75.168.116.30
- 75.168.116.48
- 75.168.128.249
- 75.168.133.228
- 75.168.142.195
- 75.168.143.54
- 75.168.144.123
- 75.168.148.253
- 75.168.150.247
- 75.168.152.142
- 75.168.153.35
- 75.168.154.228
- 75.168.156.46
- 75.168.65.203
- 75.168.82.162
- 75.168.86.191
- 75.168.86.247
- 75.168.87.28
- 75.168.87.3
- 75.168.87.35
- 75.168.87.61
- 75.168.87.70
- 75.168.87.71
