Tehnologie

Telefonul sau routerul tău ar fi putut fi unul dintre cele 17 milioane de dispozitive închiriate în secret

Telefonul sau routerul tău ar fi putut fi unul dintre cele 17 milioane de dispozitive închiriate în secret
"Europol building, The Hague, the Netherlands - 915" by OSeveno is licensed under CC BY-SA 3.0. To view a copy of this license, visit creativecommons.org
Susan Hill
De
4 min de citit

O rețea botnet nu se trădează mereu încetinind telefonul sau umplând ecranul cu ferestre pop-up. Rețeaua pe care poliția olandeză tocmai a desființat-o nu făcea aproape nimic pe care un proprietar obișnuit să-l observe. Împrumuta în tăcere o fărâmă din peste 17 milioane de dispozitive, printre care calculatoare, telefoane, tablete, routere de casă și aparate conectate la internet, și le închiria conexiunile unor străini. Dacă unul dintre acele dispozitive era al tău, cineva pe care nu îl vei cunoaște vreodată ar fi putut naviga, extrage date sau ataca site-uri luni de zile prin linia ta de acasă.

Poliția Națională a Țărilor de Jos și Centrul Național de Securitate Cibernetică al țării au oprit operațiunea după ce au confiscat circa 200 de servere de la un furnizor de găzduire aflat pe teritoriul olandez. Anchetatorii descriu rețeaua ca pe un serviciu de proxy rezidențial, un sistem care direcționează traficul unora prin dispozitivele reale ale altora, ca să pară navigare casnică obișnuită. Deghizarea aceasta este, de fapt, întregul produs. Traficul care pare că vine de la o adresă de domiciliu reală trece pe lângă filtrele antifraudă care ar bloca instant un server cunoscut de centru de date, și exact de aceea proxy-urile rezidențiale sunt prețuite deopotrivă de agenții de publicitate, de cei care extrag date și de infractori.

Presa olandeză a legat infrastructura de ASOCKS, o companie cu sediul în Rusia care vinde comercial acces la proxy-uri rezidențiale și mobile. La suprafață, ASOCKS pare o afacere obișnuită pe bază de abonament. Problema este de unde provin conexiunile sale rezidențiale. Cercetătorii în securitate avertizează de ani de zile că o mare parte din dispozitivele care alimentează asemenea rețele nu au fost niciodată înrolate în cunoștință de cauză, iar proprietarii lor habar nu aveau că lățimea lor de bandă era de vânzare.

GlassWorm s-a ascuns un an în extensii VS Code înainte să fie desființat

Dispozitivele au fost recrutate în câteva moduri, și aproape toate se reduc la o încredere prost plasată în software-ul gratuit. Unii oameni au instalat o aplicație gratuită, un fundal de ecran, un utilitar pentru telefon sau un VPN neoficial, care includea în fundal, pe tăcute, un software proxy. Pe Android, o bibliotecă de cod numită PROXYLIB, ascunsă într-un kit de dezvoltare pe care creatorii de aplicații îl introduceau în produsele lor, înscria telefoanele ca noduri proxy fără să întrebe. Alte mașini au fost infectate cu malware care instala direct aceeași capacitate. În toate cazurile, dispozitivul funcționa normal, în timp ce conexiunea lui muncea pentru altcineva.

O dată intrată în grup, conexiunea unui dispozitiv putea fi folosită pentru aproape orice are de câștigat din a părea un utilizator casnic inofensiv. Autoritățile olandeze spun că rețeaua alimenta campanii de phishing, spam, atacuri de tip denial-of-service care scot din funcțiune servicii online, încercări de autentificare prin forță brută și credential stuffing, fraudă cu click-uri și scheme de SMS cu suprataxă care scurg bani pe tăcute. Un singur router deturnat nu produce mare lucru de unul singur. Șaptesprezece milioane, puse laolaltă, devin o infrastructură serioasă.

Desființarea este reală, dar nu este o vindecare. Poliția a confiscat serverele care coordonau rețeaua, însă site-ul ASOCKS rămânea accesibil după aceea, și nu este clar cât din afacerea de fond a fost cu adevărat distrus. Oprirea serverelor de comandă nu curăță automat cele 17 milioane de dispozitive, fiindcă codul proxy inclus și malware-ul pot rămâne neatinse pe un telefon sau un router până când un nou operator le preia. În plus, abuzul de proxy-uri rezidențiale este o piață, nu o singură companie. Închizi o rețea și cererea migrează spre următoarea, pentru că pofta legitimă pentru adrese reale, de la firme de verificare a reclamelor până la companii de inteligență artificială care scanează web-ul, menține modelul profitabil.

Ca să-ți faci o idee despre amploare, 17 milioane de dispozitive plasează această rețea printre cele mai mari proxy-uri deconectate vreodată, cu mult peste multe dintre botneturile de malware care ajung în titluri pentru că răspândesc un singur virus. Spre deosebire de o infecție cu ransomware însă, rareori există un simptom evident. Indiciile tind să fie banale: un router care se încinge sau repornește fără motiv, un abonament de acasă care se lovește mereu de limita de date, un telefon al cărui consum de baterie și de date nu se potrivește cu folosirea reală, sau site-uri care îți cer să rezolvi captcha-uri iar și iar fiindcă adresa ta li se pare suspectă.

Fiindcă dispozitivele infectate erau răspândite în toată lumea, nu concentrate într-o singură țară, riscul nu este regional. Oricine folosește un router vechi sau un telefon Android ieftin, plin de utilitare gratuite, putea fi prins în plasă. Apărările practice sunt lipsite de strălucire și binecunoscute: ține la zi routerele și telefoanele, șterge aplicațiile gratuite pe care nu le folosești cu adevărat, ferește-te de software-ul descărcat în afara magazinelor oficiale și de VPN-urile neoficiale care promit ceva pe nimic, și repornește un router care merge neatins de ani de zile.

Cazul a început când un cercetător în securitate a semnalat Centrului Național de Securitate Cibernetică o activitate proxy suspectă, iar autoritățile olandeze au transmis că analiza serverelor confiscate continuă, fără arestări anunțate până acum. Ceea ce arată limpede este că economia dispozitivelor include deja o piață neagră a lățimii tale de bandă. Data viitoare când o aplicație va fi gratuită, produsul scos la vânzare s-ar putea să fie chiar conexiunea la internet pe care o plătești deja.

Mai multe articole similare

Scurgerea celor 340 de milioane de conturi OnlyFans nu e o spargere

Scurgerea celor 340 de milioane de conturi OnlyFans nu e o spargere

Cum se strecoară codul malițios în software-ul de încredere prin lanțul de aprovizionare

Cum se strecoară codul malițios în software-ul de încredere prin lanțul de aprovizionare

O eroare de autentificare a lăsat 70 de milioane de site-uri cPanel deschise pentru oricine

O eroare de autentificare a lăsat 70 de milioane de site-uri cPanel deschise pentru oricine

Bloomberg așază Alibaba la capătul rețelei de cipuri Nvidia de 2,5 miliarde de dolari care a trecut prin Thailanda

Bloomberg așază Alibaba la capătul rețelei de cipuri Nvidia de 2,5 miliarde de dolari care a trecut prin Thailanda

Linia roșie: trei femei urmăresc șeful bandei de escroci care le-a distrus economiile

Linia roșie: trei femei urmăresc șeful bandei de escroci care le-a distrus economiile

„Zona Divas: Crimele din umbra site-ului” – Documentar pe Netflix: O saga înfricoșătoare a unei crime adevărate pe fundalul exploatării sexuale în Mexic

„Zona Divas: Crimele din umbra site-ului” – Documentar pe Netflix: O saga înfricoșătoare a unei crime adevărate pe fundalul exploatării sexuale în Mexic

Discuție

Există 0 comentarii.