Киберпреступники скрывают вредоносный веб-трафик на виду
В течение многих лет услуги серого рынка, известные как «пуленепробиваемые» хосты, были ключевым инструментом для киберпреступников, желающих анонимно поддерживать веб-инфраструктуру без лишних вопросов. Но поскольку мировые правоохранительные органы изо всех сил пытаются бороться с цифровыми угрозами , они разработали стратегии получения информации о клиентах с этих хостов и все чаще нацеливаются на людей, стоящих за этими услугами, с обвинительными заключениями. На конференции по киберпреступности Sleuthcon в Арлингтоне, штат Вирджиния, сегодня исследователь Тибо Серет рассказал о том, как этот сдвиг подтолкнул как компании, предоставляющие пуленепробиваемые хостинги, так и клиентов-преступников к альтернативному подходу.
Вместо того чтобы полагаться на веб-хостинг, чтобы найти способы работы вне досягаемости правоохранительных органов, некоторые поставщики услуг обратились к предложению специально разработанных VPN и других прокси-сервисов как способа ротации и маскировки IP-адресов клиентов и предложения инфраструктуры, которая либо намеренно не регистрирует трафик, либо смешивает трафик из многих источников. И хотя эта технология не нова, Серет и другие исследователи подчеркнули в интервью WIRED, что переход к использованию прокси-серверов среди киберпреступников за последние пару лет является значительным.
«Проблема в том, что технически невозможно отличить, какой трафик в узле плохой, а какой хороший», — сказал Серет, исследователь из компании по анализу угроз Team Cymru, WIRED перед своим выступлением. «В этом и заключается магия прокси-сервиса — вы не можете сказать, кто есть кто. Это хорошо с точки зрения свободы интернета, но очень, очень сложно анализировать происходящее и выявлять вредоносную активность».
Основная проблема борьбы с киберпреступной деятельностью, скрытой прокси, заключается в том, что эти сервисы могут также, даже в первую очередь, способствовать легитимному, безвредному трафику. Преступники и компании, которые не хотят терять их как клиентов, особенно полагаются на так называемые «резидентные прокси», массив децентрализованных узлов, которые могут работать на потребительских устройствах — даже старых телефонах Android или недорогих ноутбуках — предлагая реальные, чередующиеся IP-адреса, назначенные домам и офисам. Такие сервисы предлагают анонимность и конфиденциальность, но также могут скрывать вредоносный трафик.
Делая вредоносный трафик похожим на то, что он исходит с доверенных потребительских IP-адресов, злоумышленники значительно затрудняют обнаружение подозрительной активности сканерами организаций и другими инструментами обнаружения угроз. И, что особенно важно, резидентные прокси и другие децентрализованные платформы, работающие на разрозненном потребительском оборудовании, снижают уровень понимания и контроля со стороны поставщика услуг, что затрудняет получение правоохранительными органами какой-либо полезной информации от них.
«За последние два-три года злоумышленники все активнее использовали жилые сети для атак», — говорит Ронни Токазовски, давний исследователь цифрового мошенничества и соучредитель некоммерческой организации Intelligence for Good. «Если злоумышленники находятся в тех же жилых районах, что и, скажем, сотрудники целевой организации, их сложнее отследить».
Криминальное использование прокси-серверов не ново. Например, в 2016 году Министерство юстиции США заявило, что одним из препятствий в многолетнем расследовании печально известной киберпреступной платформы «Avalanche» было использование сервисом метода хостинга «fast-flux», который скрывал вредоносную активность платформы с помощью постоянно меняющихся IP-адресов прокси-серверов. Но рост прокси-серверов как сервиса серого рынка, а не чего-то, что злоумышленники должны разрабатывать внутри компании, является важным сдвигом.
«Я пока не знаю, как мы можем решить проблему прокси», — сказал Серет из Team Cymru в интервью WIRED. «Я думаю, правоохранительные органы могли бы нацелиться на известных вредоносных поставщиков прокси, как они сделали с пуленепробиваемыми хостами. Но в целом прокси — это целые интернет-сервисы, используемые всеми. Даже если вы отключите один вредоносный сервис, это не решит более масштабную проблему».
wired
