Cyberprzestępcy ukrywają złośliwy ruch sieciowy na widoku
Przez lata usługi szarego rynku znane jako „bulletproof” hosty były kluczowym narzędziem cyberprzestępców, którzy chcieli anonimowo utrzymywać infrastrukturę internetową bez zadawania pytań. Jednak w miarę jak globalne organy ścigania starają się rozprawić z zagrożeniami cyfrowymi , opracowali strategie uzyskiwania informacji o klientach od tych hostów i coraz częściej oskarżali osoby stojące za tymi usługami. Podczas konferencji poświęconej cyberprzestępczości Sleuthcon w Arlington w stanie Wirginia, badacz Thibault Seret opisał, w jaki sposób ta zmiana popchnęła zarówno firmy hostingowe bulletproof, jak i klientów będących przestępcami w stronę alternatywnego podejścia.
Zamiast polegać na hostach internetowych, aby znaleźć sposoby działania poza zasięgiem organów ścigania, niektórzy dostawcy usług zwrócili się ku oferowaniu specjalnie zbudowanych sieci VPN i innych usług proxy jako sposobu na rotację i maskowanie adresów IP klientów oraz oferowaniu infrastruktury, która celowo nie rejestruje ruchu lub miesza ruch z wielu źródeł. I chociaż technologia ta nie jest nowa, Seret i inni badacze podkreślili dla WIRED, że przejście cyberprzestępców na korzystanie z serwerów proxy w ciągu ostatnich kilku lat jest znaczące.
„Problem polega na tym, że technicznie nie można odróżnić, który ruch w węźle jest zły, a który dobry” – powiedział Seret, badacz z firmy Team Cymru zajmującej się wywiadem zagrożeń, w wywiadzie dla WIRED przed swoim wystąpieniem. „To magia usługi proxy – nie można stwierdzić, kto jest kim. To dobre pod względem wolności internetu, ale jest bardzo, bardzo trudno analizować, co się dzieje i identyfikować złą aktywność”.
Podstawowym wyzwaniem w rozwiązywaniu cyberprzestępczej działalności ukrytej przez proxy jest to, że usługi te mogą również, a nawet przede wszystkim, ułatwiać legalny, nieszkodliwy ruch. Przestępcy i firmy, które nie chcą ich stracić jako klientów, szczególnie polegają na tym, co jest znane jako „proxy mieszkaniowe”, czyli szereg zdecentralizowanych węzłów, które mogą działać na urządzeniach konsumenckich — nawet starych telefonach z Androidem lub laptopach niskiej klasy — oferując prawdziwe, zmieniające się adresy IP przypisane do domów i biur. Takie usługi oferują anonimowość i prywatność, ale mogą również chronić złośliwy ruch.
Sprawianie, że złośliwy ruch wygląda, jakby pochodził z zaufanych adresów IP konsumentów, sprawia, że atakujący znacznie utrudniają skanerom organizacji i innym narzędziom do wykrywania zagrożeń wykrywanie podejrzanych działań. Co najważniejsze, serwery proxy i inne zdecentralizowane platformy działające na różnych urządzeniach konsumenckich ograniczają wgląd i kontrolę dostawcy usług, co utrudnia organom ścigania uzyskanie od nich czegokolwiek przydatnego.
„Napastnicy w ciągu ostatnich dwóch, trzech lat zwiększyli wykorzystanie sieci domowych do ataków” — mówi Ronnie Tokazowski, wieloletni badacz oszustw cyfrowych i współzałożyciel organizacji non-profit Intelligence for Good. „Jeśli atakujący pochodzą z tych samych zakresów domowych, co na przykład pracownicy organizacji docelowej, trudniej ich wyśledzić”.
Przestępcze wykorzystanie serwerów proxy nie jest niczym nowym. Na przykład w 2016 r. Departament Sprawiedliwości USA stwierdził, że jedną z przeszkód w wieloletnim dochodzeniu w sprawie niesławnej platformy cyberprzestępczej „Avalanche” było korzystanie przez tę usługę z metody hostingu „fast-flux”, która ukrywała złośliwą aktywność platformy za pomocą stale zmieniających się adresów IP serwerów proxy. Jednak rozwój serwerów proxy jako usługi szarej strefy, a nie czegoś, co atakujący muszą opracować wewnętrznie, jest ważną zmianą.
„Jeszcze nie wiem, jak możemy poprawić problem proxy” – powiedział Seret z Team Cymru dla WIRED. „Myślę, że organy ścigania mogłyby wziąć na celownik znanych złośliwych dostawców proxy, tak jak zrobiły to z hostami kuloodpornymi. Ale generalnie proxy to całe usługi internetowe, z których korzystają wszyscy. Nawet jeśli usuniesz jedną złośliwą usługę, nie rozwiąże to większego problemu”.
wired
