本月,一位自称拥有最高机密安全权限的空军国民警卫队成员开始质疑Reddit上的网络安全社区,质疑他们与一家名为DSLRoot的公司达成的协议。DSLRoot每月支付250美元,将两台笔记本电脑接入这位Reddit用户在美国的高速互联网连接。这篇文章探讨了DSLRoot的历史和起源,DSLRoot是起源于俄罗斯和东欧的最古老的“住宅代理”网络之一。
关于 DSLRoot 的问题来自 Reddit 用户“ Sacapoopie ”,他没有回复任何问题。该用户已从帖子中删除了原始问题,但他对其他 Reddit 网络安全爱好者的一些回复仍保留在帖子中。原始帖子已被 archive.is 收录于此,开头是一个问题:
Sacapoopie 写道:“一家名为 DSL root 的住宅 IP 网络提供商每月付给我 250 美元,用于在我家托管设备。他们使用的网络与我们个人使用的网络不同。他们有专用的 DSL 连接(每个主机一个),连接到提供 DSL 覆盖的 ISP。我家用的是 Starlink。我这样做是不是太蠢了?他们只是待在那里,我就能拿到钱。网络费用也由公司支付。”
许多 Reddit 用户表示,他们认为 Sacapoopie 的帖子只是个玩笑,任何拥有网络安全背景和最高机密(TS/SCI)权限的人都不会同意让一些不靠谱的住宅代理公司将硬件引入他们的网络。其他读者指出,过去两年里,Sacapoopie 在“网络安全”子版块发布了大量帖子,介绍他为空军国民警卫队从事网络安全工作的情况。
当其他 Reddit 用户追问更多细节时,Sacapoopie 将 DSLRoot 提供的设备描述为“只是两台笔记本电脑硬连线到调制解调器,然后连接到墙上的 DSL 端口”。
“当我打开电脑时,看起来[他们]运行了某种自定义应用程序,并生成了几个cmd提示符,”这位Reddit用户解释道。从我看到的内容中,我只能推断他们正在建立连接。
当被问及他们是如何认识 DSLRoot 时,Sacapoopie 告诉另一位用户,他们在社交媒体平台上看到广告后发现了这家公司并联系了他们。
“这大概是五六年前的事了,”Sacapoopie 写道。“从那以后,我就直接和那家公司的技术人员沟通,遇到连接问题时,我就会帮忙解决。”
DSLRoot 回应置评请求时表示,由于 Reddit 上的那场讨论,其品牌受到了不公正的诽谤。这封未署名的电子邮件称,DSLRoot 的目标和运营完全透明,并补充说,其运营完全是在“区域代理商”(该公司对像 Sacapoopie 这样的美国居民的称呼)的同意下进行的。
“虽然我们支持诚实的新闻报道,但我们反对一切为了廉价炒作而进行的‘低级/误导性黄色新闻’,”DSLRoot 在回复中写道。“我们很清楚,无论是谁在做这种事,要么是对主题缺乏正确的理解,要么就是故意误导那些缺乏正确理解的人,以此来获得曝光,”DSLRoot 在回答有关该公司意图的问题时写道。
“我们会监控客户,并禁止任何与我们的住宅代理相关的非法活动,”DSLRoot 继续说道。“说实话,我们并不知道在 Reddit 上发帖的人是军人。无论是想付房租的非裔美国老奶奶,还是想读大学的白人孩子,只要他们能为我们提供网络线路或电话托管服务——我们就没问题。”
什么是 DSLROOT?
DSLRoot 在BlackHatWorld论坛上以 DSLRoot 和GlobalSolutions的名义出售住宅代理服务。该公司总部位于巴哈马,成立于 2012 年。这项服务的目标客户是那些不在美国但想看起来像在美国的人。DSLRoot 向美国用户付费,让他们运行公司的硬件和软件(包括 5G 移动设备),作为回报,DSLRoot 将这些 IP 地址作为专用代理出租给世界各地的客户——每月 190 美元,即可无限制访问所有地点。
DSLRoot 网站。
BlackHatWorld 上的 GlobalSolutions 账户列出了一个位于墨西哥的 Telegram 账户和一个 WhatsApp 号码。DSLRoot 在 2010 年营销机构 digitalpoint.com 上的个人资料显示,他们之前在论坛上的用户名是“ Incorptoday ”。GlobalSolutions 在 bitcointalk[.]org 和 roclub[.]com 上的用户账户包含邮箱地址clickdesk@instantvirtualcreditcards[.]com 。
DomainTools.com的被动 DNS 记录显示,instantvirtualcreditcards[.]com 当时与少数几个域名共享主机 208.85.1.164,包括 dslroot[.]com、regacard[.]com、4groot[.]com、residential-ip[.]com、4gemperor[.]com、ip-teleport[.]com 和proxyrental[.]net 。
网络情报公司Intel 471发现,GlobalSolutions 于 2016 年在 BlackHatWorld 上注册,使用的电子邮件地址为[email protected] 。该用户分享了他的生日是 1984 年 3 月 7 日。
论坛上关于 DSLRoot 的几条负面评论指出,该服务是由一位自称“ USProxyKing ”的 BlackHatWorld 用户运营的。事实上,Intel 471 显示,该用户在 2013 年曾告诉其他会员使用 Skype 用户名“dslroot”与他联系。
BlackHatWorld 上的 USProxyKing 通过种子和文件共享网站征求其广告软件的安装。
USProxyKing 因在论坛上发布住宅代理服务广告而臭名昭著,他还运营着一个“按安装付费”的程序,每当联盟会员的网站安装他未指明的“广告软件”程序(大概是将主机电脑变成代理服务器的程序)时,他就会向联盟会员支付少量佣金。在业务的另一端,USProxyKing 还将这种按安装付费的访问权限出售给其他想要传播可疑软件的人——每次安装收费 1 美元。
英特尔 471 索引的私人消息显示,USProxyKing 还从近 20 名不同的 BlackHatWorld 成员那里筹集了资金,这些成员被承诺在一家新公司担任股东职位,该公司将提供每分钟可拨打 2,000 个电话的自动拨号服务。
Constella Intelligence是一个追踪数据泄露事件的平台,它发现 GlobalSolutions 用于在 BlackHatWorld 注册的 IP 地址也被用于在少数几个网站上创建账户,其中包括一个 GlobalSolutions 在WebHostingTalk上的用户账户,该账户提供了电子邮件地址[email protected] 。此外,在 [email protected] 上注册的域名还有 dslbay[.]com、dslhub[.]net、localsim[.]com、rdslpro[.]com、virtualcards[.]biz/cc 和 virtualvisa[.]cc。
回想一下,DSLRoot 在 digitalpoint.com 上的个人资料之前名为 Incorptoday。DomainTools 表示,[email protected] 与近二十个可追溯至 2008 年的域名相关联,其中包括incorptoday[.]com ,该网站提供在特拉华州、佛罗里达州和内华达州等多个州注册公司的服务,价格从 450 美元到 550 美元不等。
正如我们在2013 年网站的存档副本中看到的,IncorpToday 还提供了一项价值 750 美元的高级服务,让客户的新公司可以拥有一个零售支票账户,无需任何理由。
Global Solutions 通过向客户提供预付卡,使其能够访问美国银行系统。这些预付卡可以充值当时在俄语国家流行的各种虚拟支付工具,包括 WebMoney。这些卡的余额限制为 500 美元,但非西方人可以使用它们在各种西方公司匿名支付商品和服务。另一个注册于 [email protected] 的域名Cardnow[.]ru就体现了这一点。
Incorptoday 2013 年网站的一份副本向非美国居民提供在佛罗里达州、特拉华州或内华达州成立公司的服务,并提供一个无需任何条件的支票账户,费用为 750 美元。
安德烈·霍拉斯 (ANDREI HOLAS) 是谁?
[email protected] 注册的最古老的域名(2008 年)是andrei[.]me ;另一个域名名为andreigolos[.]com。DomainTools表示,这些域名以及其他注册到该电子邮件地址的域名的注册人姓名均为Andrei Holas ,来自阿拉巴马州亨茨维尔。
公共记录显示,安德烈·霍拉斯曾与他的兄弟阿里阿克桑德尔·霍拉斯在阿拉巴马州的两个不同地址居住。这些记录显示,安德烈·霍拉斯的生日是1984年3月,而他的弟弟阿里阿克桑德尔·霍拉斯的生日略小。这位弟弟没有回应置评请求。
安德烈·霍拉斯 (Andrei Holas) 在俄罗斯社交网络Vkontakte上使用电子邮件地址[email protected]维护一个账户,该地址出现在过去几年中遭到黑客攻击并泄露的俄罗斯政府实体的众多记录中。
这些记录表明,安德烈·霍拉斯和他的兄弟来自白俄罗斯,并在莫斯科拥有一个地址一段时间(该地址距离俄罗斯联邦安全局(FSB,克格勃的继任情报机构)总部大约三个街区)。被黑客入侵的俄罗斯银行记录显示,安德烈·霍拉斯的生日是1984年3月7日——与GlobalSolutions在BlackHatWorld网站上列出的生日相同。
[email protected] 在俄语论坛 Ulitka 上于 2010 年发帖称,该发帖人无法获得 B1/B2 签证去美国探望他的兄弟,尽管他之前已分别获得过两份访客签证和一份学生签证。目前尚不清楚霍拉斯兄弟是否仍居住在美国。安德烈在 2010 年解释说,他的兄弟是美国公民。
合法僵尸网络
我们当然可以对军人指指点点,他们肯定知道不该安装陌生人提供的网络硬件,但事实上,为了赚钱,美国居民愿意转售自己的网络连接的人不在少数。如今,有很多住宅代理服务提供商可以让你物有所值。
传统上,住宅代理网络是使用恶意软件构建的,这些恶意软件会悄悄地将受感染的系统变成流量中继器,然后在隐蔽的在线论坛上出售。通常,这种恶意软件会与流行的破解软件和视频文件捆绑在一起,上传到文件共享网络,从而秘密地将主机设备变成流量中继器。事实上,USPRoxyKing 吹嘘说,仅通过这种方法,他每周就能实现数千次安装。
如今,有许多住宅代理网络诱使用户将未使用的带宽货币化(在此过程中邀请您违反 ISP 的服务条款);其他网络,如 DSLRoot,充当公共 VPN,通过使用该服务,您可以默认访问其他代理(用户)的连接,但您也同意与他人共享您的连接。
事实上,Intel 471 的档案显示,GlobalSolutions 和 DSLRoot 账户经常收到论坛用户的私信,这些用户大多是大学生或努力维持生计的年轻人。这些消息表明,DSLRoot 的许多“区域代理商”经常通过推荐有意转售家庭互联网连接的朋友来获取佣金(DSLRoot 会主动承担代理商家庭互联网连接的月费)。
然而,在朝鲜黑客不断冒充西方IT工作者,花钱雇人在美国托管笔记本电脑农场的时代,让陌生人在你的网络上运行笔记本电脑、移动设备或任何其他硬件,无论你的社会地位如何,似乎都是极其危险的举动。正如几位Reddit用户在Sacapoopie的帖子中指出的那样,一名亚利桑那州女子于2025年7月因托管笔记本电脑农场而被判处102个月监禁,该农场帮助朝鲜黑客在300多家美国公司(包括财富500强企业)获得工作。
劳埃德·戴维斯 (Lloyd Davies)是位于伦敦的安全初创公司Infrawatch的创始人。戴维斯表示,他对 DSLRoot 代理服务的软件进行了逆向工程,发现该软件可以连接到前面提到的域名 proxyrental[.]net,该域名销售一项服务,承诺“让您的广告在多个城市上线,而不会被封禁、标记或隐藏”(可能指的是 CraigsList 上的广告)。
戴维斯说,他发现 DSLRoot 安装程序能够远程控制多个供应商品牌的住宅网络设备。
图片:Infrawatch.app。
戴维斯在今天发表的分析报告中写道:“该软件利用特定供应商的漏洞和硬编码的管理凭证,表明DSLRoot在部署前预先配置了设备。” 他表示,该软件会执行WiFi网络枚举来识别附近的无线网络,从而“有可能将目标定位能力扩展到主要互联网连接之外”。
目前尚不清楚“美国代理之王”究竟何时被篡夺王位,但DSLRoot及其代理服务已今非昔比。戴维斯表示,整个DSLRoot网络目前在全国范围内的节点不足300个,主要依靠CenturyLink和Frontier等DSL提供商的系统。
8 月 17 日,GlobalSolutions 在 BlackHatWorld 上发帖称,“我们正在调整我们的商业模式,降级为‘仅限 DSL’线路(不使用移动或有线网络)。”当通过电子邮件被问及这些变化时,DSLRoot 将客户数量的下降归咎于住宅代理服务的激增。
“如今,在这个领域竞争几乎不可能,因为每个人都在销售住宅代理,而且许多公司都希望你在手机或电脑上安装一个软件,这样他们就可以更大规模地转售你的住宅IP,”DSLRoot解释说。“这就是我们所看到的所谓的‘合法僵尸网络’。”
原文: https://krebsonsecurity.com/2025/08/dslroot-proxies-and-the-threat-of-legal-botnets/