Компания Infrawatch опубликовала отчёт, где с высокой степенью уверенности оценивает, что DSLRoot управляет распределённой сетью домашних прокси серверов в инфраструктуре США, используя оборудование, развёрнутое как минимум в 20 штатах. Сетью управляет гражданин Беларуси, имеющий документально подтвержденное проживание в Минске и Москве.

Небольшое вступление

8 августа 2025 года на публичном форуме появился пользователь, задававший вопрос о хостинге оборудования для DSLRoot, провайдера прокси серверов. Автор вопроса был с высокой степенью уверенности идентифицирован как военнослужащий Национальной гвардии ВВС США из Огайо, приписанный к подразделению киберопераций, который, сам того не подозревая, разместил у себя дома инфраструктуру, контролируемую иностранными компаниями.

В отличие от типичных провайдеров, масштабирующихся с помощью мобильных SDK, DSLRoot устанавливает выделенное оборудование в домах американцев, обеспечивая постоянный управляемый доступ к домашним сетям в США. Сеть преимущественно использует IP-пространство CenturyLink (Lumen) и Frontier.

Анализ показывает, что оператор — гражданин Беларуси, проживающий в Минске и Москве. По оценкам, DSLRoot управляет примерно 300 активными устройствами в более чем 20 штатах США. Присутствие оператора в Беларуси и Москве является важным географическим фактором, учитывая развёртывание домашних прокси в США.

Технический анализ показывает, что специализированное программное обеспечение DSLRoot обеспечивает автоматизированное удалённое управление потребительскими модемами (ARRIS/Motorola, Belkin, D-Link, ASUS) и устройствами Android через ADB, обеспечивая ротацию IP-адресов и управление подключением. Сеть работает без аутентификации, позволяя клиентам анонимно маршрутизировать трафик через резидентные IP-адреса США.

Операторы также предоставляют сопутствующие услуги, включая выпуск виртуальных кредитных карт и регистрацию компаний, ориентированные как на англоязычные, так и на русскоязычные рынки.

Анализ деятельности

DSLRoot рекламируется на BlackHatWorld пользователем под псевдонимом GlobalSolutions, предлагающим на продажу физические домашние ADSL-прокси. Компания, вероятно, начала свою деятельность в 2012 году и использует домен dslroot[.]com, предлагая поддержку через Telegram. Её корпоративная структура и местоположение непрозрачны.

Сервис доступен более чем в 20 штатах США, включая такие крупные регионы, как Восточное побережье, Западное побережье и Средний Запад. Стоимость неограниченного доступа ко всем локациям составляет 190 долларов в месяц, а более выгодные тарифы — 990 долларов за шесть месяцев и 1750 долларов за годовую подписку.

После входа в систему пользователю предоставляется панель управления, содержащая данные о штате, городе и количестве активных пользователей, использующих устройство в данный момент. Панель управления представлена ​​на рисунке ниже.

Аппаратные устройства

Infrawatch не удалось получить ни одно из физических устройств, однако физическая установка была описана пользователем на общедоступном интернет-форуме в сообщении:

«По сути, это просто два ноутбука, подключенных к модему, который затем подключен к DSL-порту в стене. Когда я открываю компьютер, похоже, на них установлено какое-то специальное приложение, которое запускается и выводит несколько командных строк. Всё, что я могу заключить из того, что вижу, — это то, что они устанавливают соединения».

Компания Infrawatch успешно получила образец программного обеспечения прокси-сервера DSLRoot с хэшем SHA-256: 042a8fa307e585952ada30070a2aa5606a9a8fbdf7c9f15d50753fcf33736bc9. Статический анализ выявил несколько ключевых характеристик работы DSLRoot в инфраструктуре. Используя информацию, полученную в результате реверс-инжиниринга программного обеспечения, мы смогли воспроизвести вероятную конфигурацию, представленную ниже.

Технический обзор

Программное обеспечение предназначено для работы в системах Windows и, по всей видимости, является управляющим ПО, установленным на ноутбуках в распределённой сети DSLRoot. Бинарник, написанный на Delphi и имеющий внутреннее имя DSLPylon, с высокой вероятностью был скомпилирован на компьютере с русскоязычной конфигурацией, о чём свидетельствует свойство ресурса PE «RUSSIAN».

Первоначальное исполнение и коммуникация

После выполнения DSLPylon обращается к серверу управления DSLRoot по адресу http[:]//internal.to.proxysource[.]net/available.txtдля проверки подключения. После успешного подключения он устанавливает прокси-серверы SOCKS5 и HTTP без аутентификации на жёстко заданных портах (в основном 3129 и 110), а затем регистрируется в инфраструктуре управления, передавая:

• Жестко запрограммированный UUID ADSL
• Информация о местном часовом поясе
• Тип подключения ADSL (внутренний идентификатор)
• Доступная системная память
• Внутренний идентификатор версии

Ротация IP-адресов

DSLPylon принудительно ротирует IP-адреса, используя стандартное поведение управления арендой DHCP интернет-провайдера. При перезагрузке (или принудительной перезагрузке в данном случае) бытовые модемы теряют текущую аренду DHCP и должны повторно согласовывать её с DHCP-сервером интернет-провайдера во время загрузки.

Интервал ротации по умолчанию установлен на 30 минут. В двоичном файле сервер управления настраивает следующие поля для этого таймфрейма:

• SchAvalFrom и SchAvalTo определяют операционные окна для ротации IP-адресов.
• SchIdleTime определяет минимальную продолжительность простоя перед запуском вращения.

Большинство домашних интернет-провайдеров поддерживают большие пулы динамических IP-адресов и используют алгоритмы балансировки нагрузки, которые способствуют распределению адресов по доступным диапазонам. Когда модем отправляет пакет DHCP DISCOVER после перезагрузки, DHCP-сервер интернет-провайдера обычно назначает доступный адрес из пула, а не резервирует ранее арендованный. Такое поведение особенно распространено среди кабельных и DSL-провайдеров, обслуживающих десятки тысяч домашних клиентов в региональных зонах обслуживания.