Logo

Seleziona la lingua

Italian

Down Icon

Seleziona Paese

Mexico

Down Icon

I criminali informatici nascondono il traffico web dannoso in bella vista

I criminali informatici nascondono il traffico web dannoso in bella vista
Nel tentativo di eludere il rilevamento, i criminali informatici si rivolgono sempre più spesso a servizi di "proxy residenziali" che coprono le loro tracce facendole apparire come normali attività online.

Per anni, i servizi del mercato grigio noti come host "a prova di proiettile" sono stati uno strumento chiave per i criminali informatici che cercavano di gestire in modo anonimo l'infrastruttura web senza dover fare domande. Ma mentre le forze dell'ordine globali si affannano per reprimere le minacce digitali , hanno sviluppato strategie per ottenere informazioni sui clienti da questi host e hanno sempre più spesso preso di mira le persone dietro i servizi con incriminazioni. Alla conferenza incentrata sulla criminalità informatica Sleuthcon ad Arlington, in Virginia, oggi, il ricercatore Thibault Seret ha illustrato come questo cambiamento abbia spinto sia le aziende di hosting a prova di proiettile che i clienti criminali verso un approccio alternativo.

Invece di affidarsi agli host web per trovare modi per operare al di fuori del raggio d'azione delle forze dell'ordine, alcuni fornitori di servizi hanno iniziato a offrire VPN e altri servizi proxy appositamente progettati per ruotare e mascherare gli indirizzi IP dei clienti e offrire infrastrutture che intenzionalmente non registrano il traffico o combinano il traffico proveniente da diverse fonti. E sebbene la tecnologia non sia nuova, Seret e altri ricercatori hanno sottolineato a WIRED che la transizione all'utilizzo dei proxy tra i criminali informatici negli ultimi due anni è significativa.

"Il problema è che tecnicamente non è possibile distinguere quale traffico in un nodo sia dannoso da quale sia valido", ha dichiarato a WIRED Seret, ricercatore presso l'azienda di threat intelligence Team Cymru, prima del suo intervento. "Questa è la magia di un servizio proxy: non si può dire chi è chi. È un vantaggio in termini di libertà di internet, ma è estremamente difficile analizzare cosa sta succedendo e identificare le attività dannose".

La sfida principale nell'affrontare le attività dei criminali informatici nascoste dai proxy è che questi servizi potrebbero anche, se non principalmente, facilitare traffico legittimo e innocuo. I criminali e le aziende che non vogliono perderli come clienti si sono affidati in particolare ai cosiddetti "proxy residenziali", una serie di nodi decentralizzati che possono essere eseguiti su dispositivi consumer, persino vecchi telefoni Android o laptop di fascia bassa, e che offrono indirizzi IP reali e rotanti assegnati a case e uffici. Tali servizi offrono anonimato e privacy, ma possono anche schermare il traffico dannoso.

Facendo apparire il traffico dannoso come proveniente da indirizzi IP di consumatori affidabili, gli aggressori rendono molto più difficile per gli scanner e gli altri strumenti di rilevamento delle minacce delle organizzazioni individuare attività sospette. E, soprattutto, i proxy residenziali e altre piattaforme decentralizzate che operano su hardware di consumo diversi riducono la visibilità e il controllo di un fornitore di servizi, rendendo più difficile per le forze dell'ordine ottenere informazioni utili da loro.

"Negli ultimi due o tre anni, gli aggressori hanno intensificato l'uso delle reti residenziali per gli attacchi", afferma Ronnie Tokazowski, ricercatore di lunga data sulle truffe digitali e cofondatore dell'organizzazione no-profit Intelligence for Good. "Se gli aggressori provengono dagli stessi quartieri residenziali, ad esempio, dei dipendenti di un'organizzazione presa di mira, è più difficile tracciarli".

L'uso criminale dei proxy non è una novità. Nel 2016, ad esempio, il Dipartimento di Giustizia degli Stati Uniti ha affermato che uno degli ostacoli a un'indagine durata anni sulla famigerata piattaforma di criminali informatici "Avalanche" era l'utilizzo da parte del servizio di un metodo di hosting "fast-flux" che nascondeva le attività dannose della piattaforma tramite indirizzi IP proxy in continua evoluzione. Ma l'ascesa dei proxy come servizio del mercato grigio, piuttosto che come qualcosa che gli aggressori devono sviluppare internamente, rappresenta un cambiamento importante.

"Non so ancora come possiamo migliorare il problema dei proxy", ha detto Seret del Team Cymru a WIRED. "Immagino che le forze dell'ordine potrebbero prendere di mira i provider di proxy dannosi noti, come hanno fatto con gli host antiproiettile. Ma in generale, i proxy sono servizi internet completi utilizzati da tutti. Anche se si elimina un servizio dannoso, non si risolve il problema più grande."

wired

wired

Notizie simili

Tutte le notizie
Animated ArrowAnimated ArrowAnimated Arrow
Le aziende polacche sono molto indietro nella sicurezza informatica. "Abbiamo le armi, ma non sappiamo come usarle"
wnp.pl

Le aziende polacche sono molto indietro nella sicurezza informatica. "Abbiamo le armi, ma non sappiamo come usarle"

Censura e sorveglianza estreme: un telefono cellulare rubato alla Corea del Nord ha smascherato la rete di controllo digitale di Kim Jong-un.
Clarin

Censura e sorveglianza estreme: un telefono cellulare rubato alla Corea del Nord ha smascherato la rete di controllo digitale di Kim Jong-un.

Crescita altrove, stagnazione in Europa. Le fabbriche cinesi non miglioreranno la situazione
wnp.pl

Crescita altrove, stagnazione in Europa. Le fabbriche cinesi non miglioreranno la situazione

Larauze Hub: "Il mercato Back può crescere del 20% in Spagna nei prossimi cinque anni."
Expansion

Larauze Hub: "Il mercato Back può crescere del 20% in Spagna nei prossimi cinque anni."

iFixit afferma che Switch 2 è probabilmente ancora soggetto a deriva
wired

iFixit afferma che Switch 2 è probabilmente ancora soggetto a deriva