Logo

Selecteer taal

Dutch

Down Icon

Selecteer land

Germany

Down Icon

Cybercriminelen verbergen kwaadaardig webverkeer in het volle zicht

Cybercriminelen verbergen kwaadaardig webverkeer in het volle zicht
Om detectie te voorkomen, maken cybercriminelen steeds vaker gebruik van 'residentiële proxy'-diensten die hun sporen verbergen door het te laten lijken op alledaagse onlineactiviteiten.

Jarenlang waren diensten op de grijze markt, bekend als "bulletproof" hosts, een belangrijk instrument voor cybercriminelen die anoniem webinfrastructuur wilden onderhouden zonder vragen te stellen. Maar nu de wereldwijde rechtshandhaving zich inspant om digitale dreigingen aan te pakken , hebben ze strategieën ontwikkeld om klantgegevens van deze hosts te verkrijgen en hebben ze de mensen achter de diensten steeds vaker aangeklaagd. Op de cybercriminaliteitsconferentie Sleuthcon in Arlington, Virginia, schetste onderzoeker Thibault Seret vandaag hoe deze verschuiving zowel bulletproof hostingbedrijven als criminele klanten naar een alternatieve aanpak heeft gedreven.

In plaats van te vertrouwen op webhosts om manieren te vinden om buiten het bereik van de wetshandhaving te opereren, zijn sommige serviceproviders overgestapt op het aanbieden van speciaal ontwikkelde VPN's en andere proxydiensten om IP-adressen van klanten te rouleren en te maskeren. Ook bieden ze infrastructuur die opzettelijk geen verkeer registreert of verkeer van meerdere bronnen combineert. Hoewel de technologie niet nieuw is, benadrukten Seret en andere onderzoekers tegenover WIRED dat de overstap naar het gebruik van proxy's door cybercriminelen de afgelopen jaren aanzienlijk is.

"Het probleem is dat je technisch gezien niet kunt onderscheiden welk verkeer in een knooppunt slecht is en welk verkeer goed", vertelde Seret, onderzoeker bij het dreigingsinformatiebureau Team Cymru, aan WIRED voorafgaand aan zijn lezing. "Dat is de magie van een proxyservice: je kunt niet zien wie wie is. Het is goed voor de internetvrijheid, maar het is ontzettend lastig om te analyseren wat er gebeurt en schadelijke activiteiten te identificeren."

De grootste uitdaging bij het aanpakken van cybercriminele activiteiten die verborgen zitten achter proxy's, is dat de diensten mogelijk ook, en zelfs primair, legitiem en onschuldig verkeer faciliteren. Criminelen en bedrijven die deze niet als klant willen verliezen, maken vooral gebruik van zogenaamde "residentiële proxy's", een reeks gedecentraliseerde knooppunten die kunnen draaien op consumentenapparaten – zelfs oude Android-telefoons of goedkope laptops – en die echte, wisselende IP-adressen aanbieden die aan huizen en kantoren zijn toegewezen. Dergelijke diensten bieden anonimiteit en privacy, maar kunnen ook schadelijk verkeer afschermen.

Door kwaadaardig verkeer eruit te laten zien alsof het afkomstig is van vertrouwde IP-adressen van consumenten, maken aanvallers het voor de scanners en andere tools voor bedreigingsdetectie van organisaties veel moeilijker om verdachte activiteiten te detecteren. En, cruciaal, residentiële proxyservers en andere gedecentraliseerde platforms die op verschillende consumentenhardware draaien, beperken het inzicht en de controle van een serviceprovider, waardoor het voor wetshandhaving moeilijker wordt om er iets nuttigs uit te halen.

"Aanvallers maken de afgelopen twee tot drie jaar steeds vaker gebruik van thuisnetwerken voor aanvallen", zegt Ronnie Tokazowski, een ervaren onderzoeker naar digitale oplichting en medeoprichter van de non-profitorganisatie Intelligence for Good. "Als aanvallers vanuit dezelfde woongebieden komen als bijvoorbeeld medewerkers van een doelwit, is het moeilijker om ze op te sporen."

Crimineel gebruik van proxyservers is niet nieuw. In 2016 stelde het Amerikaanse ministerie van Justitie bijvoorbeeld dat een van de obstakels in een jarenlang onderzoek naar het beruchte cybercriminele platform "Avalanche" het gebruik van een "fast-flux" hostingmethode was, die de kwaadaardige activiteiten van het platform verhulde met behulp van constant veranderende proxy-IP-adressen. Maar de opkomst van proxyservers als een dienst voor de grijze markt, in plaats van iets dat aanvallers zelf moeten ontwikkelen, is een belangrijke verandering.

"Ik weet nog niet hoe we het proxyprobleem kunnen oplossen", vertelde Seret van Team Cymru aan WIRED. "Ik denk dat wetshandhaving bekende kwaadaardige proxyproviders zou kunnen aanpakken, zoals ze met bulletproof hosts deden. Maar over het algemeen zijn proxy's complete internetdiensten die door iedereen worden gebruikt. Zelfs als je één kwaadaardige dienst platlegt, lost dat het grotere probleem niet op."

wired

wired

Vergelijkbaar nieuws

Alle nieuws
Animated ArrowAnimated ArrowAnimated Arrow
De toekomst van de digitale radarmarkt in 2025: Trends en uitdagingen in de overvluchtsector 🚀
erfolg-und-business

De toekomst van de digitale radarmarkt in 2025: Trends en uitdagingen in de overvluchtsector 🚀

Technologische doorbraken: kunstmatige intelligentie lost nucleaire misleidingen op en verricht medische wonderen!
erfolg-und-business

Technologische doorbraken: kunstmatige intelligentie lost nucleaire misleidingen op en verricht medische wonderen!

Klimaatverandering: hittegolven en droogtes verergeren de situatie van amfibieën verder
rnd

Klimaatverandering: hittegolven en droogtes verergeren de situatie van amfibieën verder

Slecht humeur in het weekend: tips tegen de zondagsblues
rnd

Slecht humeur in het weekend: tips tegen de zondagsblues

Een spermadonor verwekt 67 kinderen. Dan blijkt dat hij een risicogen draagt, en tien van zijn kinderen hebben al kanker gekregen. Hoe kan dit gebeuren?
nzz.ch

Een spermadonor verwekt 67 kinderen. Dan blijkt dat hij een risicogen draagt, en tien van zijn kinderen hebben al kanker gekregen. Hoe kan dit gebeuren?