Google Threat Intelligence Group (GTIG) разом із галузевими партнерами провела масштабну операцію проти сервісу IPIDEA, який позиціонував себе як провайдер резидентних проксі, а фактично перетворився на глобальний майданчик доступу до скомпрометованих пристроїв. У ході операції було заблоковано десятки доменів керування, порушено маршрутизацію трафіку та розкрито деталі шкідливих SDK, що формували цю мережу.
Резидентні проксі: легітимна технологія як фундамент кіберзлочинності
Резидентні проксі задумувалися як легальний інструмент: компанії орендують IP-адреси реальних користувачів для тестування сервісів, обходу геоблокувань та аналітики реклами. Трафік із таких адрес виглядає як звичайна активність домашніх або офісних користувачів, що робить їх надзвичайно привабливими для кіберзлочинців і ускладнює блокування на рівні захисту.
У моделі IPIDEA власники пристроїв переважно не підозрювали, що їхні смартфони, ПК чи роутери стали вузлами розподіленої проксі-мережі. Через ці IP-адреси проводилися атаки на облікові записи, створювалися фейкові профілі, викрадалися паролі та конфіденційні дані. Для команд безпеки відрізнити такий трафік від легітимного було в рази складніше, ніж у випадку класичних хостинг‑провайдерів.
IPIDEA як глобальний маркетплейс скомпрометованих пристроїв
Сервіс IPIDEA рекламував доступ до понад 60 млн резидентних IP, більше ніж 6 млн щодня активних адрес та близько 69 000 нових IP на добу. За оцінкою Google, фактично йшлося про маркетплейс, який продавав доступ до заражених домашніх і офісних пристроїв, підключених до проксі-мережі без інформованої згоди власників.
Лише за один тиждень дослідники пов’язали інфраструктуру IPIDEA з активністю понад 550 хакерських груп, включно з акторами з Китаю, Ірану, Росії та Північної Кореї. Через цю мережу здійснювалися атаки password spraying на корпоративні акаунти, приховувалася інфраструктура ботнетів, відбувався несанкціонований доступ до SaaS‑платформ та ресурсів організацій по всьому світу.
Двошарова архітектура та мережа з тисяч серверів
За даними GTIG, IPIDEA використовувала двохрівневу інфраструктуру керування. Перший рівень відповідав за конфігурацію, синхронізацію та ведення реєстрів проксі-вузлів. Другий рівень складався приблизно з 7400 серверів, які розподіляли навантаження й перенаправляли трафік через заражені пристрої кінцевих користувачів, утворюючи масштабну, стійку до блокування мережу.
Оператори IPIDEA також контролювали щонайменше 19 брендів проксі‑сервісів, що маскувалися під легальні платформи. Ці бренди продавали доступ до пристроїв, інфікованих шкідливим ПЗ BadBox 2.0. Попри різні назви та позиціонування, усі вони були пов’язані з єдиною централізованою інфраструктурою, якою керували ті самі, поки що не ідентифіковані оператори.
Компрометація Android та Windows: шкідливі SDK і маскування під системні процеси
Google задокументувала, що IPIDEA будувала проксі-мережу через щонайменше 600 шкідливих Android‑додатків, які містили проксі‑SDK (Packet SDK, Castar SDK, Hex SDK, Earn SDK). Частина цих застосунків розповсюджувалася як «VPN‑сервіси» або «оптимізатори продуктивності», перетворюючи пристрої користувачів на вузли проксі без чітких попереджень у політиках конфіденційності чи інтерфейсі.
На платформі Windows оператори IPIDEA застосовували понад 3000 шкідливих файлів, що маскувалися під системні процеси на кшталт OneDriveSync або Windows Update. Такий підхід знижував підозрілість і дозволяв тривалий час ухилятися від виявлення антивірусами та системами моніторингу, адже шкідлива активність «розчинялася» серед легітимних системних задач.
Безкоштовні VPN і «монетизація трафіку» як вхідна точка ризику
Частина застосунків прямо пропонувала користувачам «монетизувати невикористану пропускну здатність», обіцяючи винагороду за встановлення. Інші, як-от Galleon VPN, Radish VPN, Aman VPN, надавали безкоштовний VPN‑функціонал, але паралельно підключали пристрої до мережі IPIDEA. Для користувача сервіс виглядав корисним і безпечним, проте його IP‑адреса фактично ставала вихідним вузлом для сторонніх операцій.
Ботнети, брутфорс і DDoS: практичне використання IPIDEA
Аналітики Cisco Talos раніше пов’язували IPIDEA з широкомасштабними брутфорс‑атаками на VPN‑ та SSH‑сервіси. Інфраструктура сервісу також фігурувала в активності потужних DDoS‑ботнетів Aisuru та Kimwolf. За даними компанії Synthient, оператори ботнетів використовували резидентні проксі, щоб доставляти команди керування до IoT‑пристроїв за міжмережевими екранами та поширювати шкідливе ПЗ у локальних мережах.
Для захисників такий підхід є особливо проблемним: трафік надходить із тисяч на вигляд «чистих» резидентних IP‑адрес у різних країнах. Масове блокування таких адрес загрожує значними побічними втратами для легітимних користувачів, тому традиційні механізми фільтрації працюють гірше, ніж у випадку звичайних хостинг‑провайдерів або відомих анонімайзерів.
Реакція Google та рекомендації з підвищення захисту
У межах операції GTIG та партнери заблокували ключові домени керування і маршрутизації IPIDEA, істотно порушивши роботу її резидентної проксі‑мережі. Сервіс Google Play Protect тепер автоматично виявляє та блокує на оновлених сертифікованих Android‑пристроях застосунки, що інтегрують SDK, пов’язані з IPIDEA, зменшуючи ризик їх подальшого поширення.
У Google наголошують, що контроль за такими сервісами ускладнюється через непрозорі структури володіння, мережі реселерів і розгалужену екосистему застосунків під різними брендами. Представники китайської компанії IPIDEA в коментарі The Wall Street Journal визнали використання «агресивних стратегій розширення» та просування на хакерських форумах, водночас заявивши про «категоричне неприйняття незаконної діяльності».
Ситуація з IPIDEA демонструє, наскільки легко легітимні технології на кшталт резидентних проксі можуть стати опорою кіберзлочинної екосистеми. Користувачам варто з обережністю ставитися до «безкоштовних VPN» і сервісів монетизації трафіку, встановлювати програми лише з перевірених джерел, регулярно переглядати список інстальованих додатків і контролювати мережеву активність пристроїв. Організаціям доцільно посилити моніторинг вихідного трафіку, впроваджувати засоби виявлення аномалій та явно враховувати проксі‑мережі в моделях загроз. Чим вищий рівень прозорості та контролю над власною інфраструктурою, тим складніше зловмисникам перетворити її на частину глобальних анонімізувальних мереж.
