Google Threat Intelligence Group (GTIG) при поддержке отраслевых партнеров провела масштабную операцию против IPIDEA — одного из крупнейших в мире сервисов резидентных прокси. В результате были выведены из строя десятки доменов управления, нарушена маршрутизация трафика через зараженные устройства и раскрыты детали SDK, с помощью которых формировалась прокси-сеть.
Резидентные прокси: легальный инструмент, ставший опорой киберпреступников
Резидентные прокси изначально создавались как легальный инструмент: компании арендуют IP-адреса обычных пользователей и малых бизнесов для тестирования сервисов, обхода геоблокировок и анализа рекламы. Однако такая инфраструктура крайне привлекательна для злоумышленников, поскольку трафик выглядит как «обычная» активность домашних пользователей.
В модели IPIDEA владельцы устройств, как правило, не знали, что их телефоны, ПК или роутеры стали частью распределенной прокси-сети. Через эти IP-адреса проходили атаки на учетные записи, создание фейковых профилей, кража паролей и конфиденциальных данных, а обороняющейся стороне было значительно сложнее отличить вредоносный трафик от легитимного.
IPIDEA как маркетплейс скомпрометированных устройств
IPIDEA позиционировала себя как «ведущий мировой поставщик резидентных прокси», заявляя доступ к более чем 60 млн резидентных IP, свыше 6 млн ежедневно активных адресов и около 69 000 новых IP в сутки. По данным Google, де-факто это был маркетплейс доступа к скомпрометированным домашним и офисным устройствам, превращенным в узлы прокси-сети без информированного согласия владельцев.
За одну только неделю исследователям удалось связать активность IPIDEA с более чем 550 различными хак-группами. Среди них обнаружены акторы из Китая, Ирана, России и Северной Кореи. Через инфраструктуру сервиса проводились атаки типа password spraying на корпоративные аккаунты, скрывалась инфраструктура ботнетов, осуществлялся несанкционированный доступ к SaaS-платформам и организациям по всему миру.
Двухуровневая инфраструктура IPIDEA и сеть из тысяч серверов
По данным отчета GTIG, сервис резидентных прокси IPIDEA использовал двухуровневую архитектуру управления. Первый уровень отвечал за конфигурацию, синхронизацию и ведение списков прокси-нод, второй уровень включал порядка 7400 серверов, которые распределяли задачи и перенаправляли трафик через зараженные устройства пользователей.
Дополнительно операторы IPIDEA управляли как минимум 19 брендами прокси-сервисов, которые маскировались под легальные решения. Эти бренды продавали доступ к устройствам, зараженным малварью BadBox 2.0. Несмотря на разнообразие названий, все они были связаны с единой централизованной инфраструктурой, контролируемой теми же операторами, чьи личности пока не установлены.
Заражение Android и Windows: вредоносные SDK и маскировка под легитимные сервисы
Google выявила, что IPIDEA строила свою сеть через минимум 600 вредоносных Android-приложений с интегрированными прокси-SDK (Packet SDK, Castar SDK, Hex SDK, Earn SDK). Часть приложений распространялась под видом VPN-сервисов и утилит повышения производительности, фактически превращая устройства в прокси-узлы без уведомления владельца.
На стороне Windows операторы применяли более 3000 вредоносных файлов, маскируя их под процессы OneDriveSync или Windows Update. Это позволяло снижать подозрительность и долго оставаться незамеченными антивирусами и средствами мониторинга.
Некоторые приложения прямо предлагали пользователям «монетизировать неиспользуемую пропускную способность», обещая вознаграждение за установку. Другие предоставляли бесплатный VPN (например, Galleon VPN, Radish VPN, Aman VPN), действительно выполняя заявленную функцию, но параллельно включая устройства в сеть IPIDEA и используя их как exit-ноды.
Ботнеты, брутфорс и DDoS: как использовали сеть IPIDEA
Исследователи Cisco Talos ранее связывали IPIDEA с масштабными брутфорс-атаками на VPN- и SSH-сервисы. Инфраструктура сервиса также фигурировала в деятельности крупных DDoS-ботнетов Aisuru и Kimwolf. Операторы ботнетов, по данным компании Synthient, эксплуатировали уязвимости в сервисах резидентных прокси, чтобы перенаправлять управляющие команды на IoT-устройства за файрволами внутри локальных сетей и распространять вредоносное ПО.
Для защитников такая модель крайне проблематична: трафик приходит с тысяч на вид «чистых» IP-адресов по всему миру, блокировать которые массово рискованно из-за высокой вероятности затронуть легитимных пользователей.
Ответ Google и меры защиты пользователей
В рамках операции GTIG и партнеры заблокировали ключевые домены управления и маршрутизации IPIDEA, что существенно нарушило работу сети резидентных прокси. Google Play Protect теперь автоматически обнаруживает и блокирует на обновленных сертифицированных Android-устройствах приложения, использующие SDK, связанные с IPIDEA.
В Google подчеркивают, что контроль за такими сервисами затруднен: используются запутанные структуры владения, цепочки реселлеров и множество приложений с разными брендами. Представители китайской компании IPIDEA в комментарии для The Wall Street Journal признали использование «агрессивных стратегий расширения» и продвижение на хакерских форумах, одновременно заявляя о «категорическом неприятии незаконной деятельности».
Ситуация с IPIDEA демонстрирует, насколько легко легитимные технологии вроде резидентных прокси превращаются в фундамент киберпреступной экосистемы. Пользователям и компаниям стоит осторожно относиться к «бесплатным VPN» и сервисам монетизации трафика, устанавливать приложения только из проверенных источников, регулярно проверять список установленных программ и сетевую активность устройств. Организациям рекомендуется мониторить выходящий трафик, использовать средства обнаружения аномалий и учитывать прокси-сети в моделях угроз. Чем выше прозрачность и контроль над собственными устройствами и приложениями, тем сложнее злоумышленникам превращать их в элемент глобальных анонимизирующих сетей.
