Yerleşik proxy'ler, ağ trafiğini müşterilerden İnternet sağlayıcılarının son müşteri alanlarında bulunan cihazlara dağıtır. Siber suçlular genellikle bunu verilerini kaynağını gizlemek amacıyla yönlendirmek için kullanır. Artık Google'ın Tehdit İstihbarat Ekibi, bugüne kadarki en büyük konut proxy ağı olan IPIDEA'ya büyük bir darbe indirmeyi başardı.
Duyurudan sonra devamını okuyun
Bir yandan Google ve iş ortakları, cihazları ve proxy trafiğini kontrol etmek için kullanılan alanları çevrimdışına aldı. BT araştırmacıları bunun yerine, potansiyel olarak ilgilenen tüm tarafların farkındalığını artırmak amacıyla platform sağlayıcılara, kolluk kuvvetlerine ve araştırma enstitülerine yazılım geliştirme kitleri (SDK'ler) ve IPIDEA ağı için kendileriyle birlikte geliştirilen proxy yazılımı hakkında teknik bilgiler gönderdi.
SDK'lar birden fazla mobil ve masaüstü platformda geliştiricilere sunuluyor ve kullanıcı cihazlarını gizlice IPIDEA ağına eklemek için kullanılıyor. Bu SDK'ya karşı ortak eylem, ağın yayılmasının engellenmesine yardımcı olacaktır. Google ayrıca sertifikalı Android cihazlardaki güvenlik mekanizmalarını da güçlendirdi. O tarihten bu yana Google Play Koruma'nın kullanıcıları uyarması, IPIDEA SDK'yı içeren uygulamaları kaldırması ve bunların gelecekte yüklenmesini engellemesi bekleniyor.
Popüler konut proxy adresleri
Google, analizde ABD, Kanada ve Avrupa gibi ülkelerden gelen IP adreslerinin özellikle popüler olduğunu açıklıyor. Google, proxy yazılımının cihazlara önceden yüklenmiş olarak geldiğini veya akıllı telefonlardaki uygulamaların Truva atı haline getirilmiş sürümleriyle birlikte geldiğini söylemeye devam ediyor. Hatta bazı kullanıcılar, mevcut bant genişliğinden para kazanma vaadinin cazibesine kapılarak, bu tür yazılımları istedikleri zaman bile kurabilirler. Cihazlar konut proxy ağına kaydolduktan sonra operatörler erişimi müşterilerine satarlar.
Bu tür proxy ağlarının operatörleri, genellikle mahremiyet ve ifade özgürlüğünü, yerleşik proxy'lerin avantajları olarak vurgulamaktadır. Ancak Google araştırması, bu ağların ağırlıklı olarak kötü niyetli aktörler tarafından kullanıldığını gösterdi. IPIDEA, çeşitli botnet'lere ev sahipliği yapmasıyla ün kazandı. Bu nedenle SDK, botnet'lere cihaz eklemede önemli bir rol oynar. Bu, Badbox 2.0 botneti, Aisuru botneti, Kimwolf botneti ve diğerleri için geçerlidir.
Google ayrıca casusluk yapmak ve suç işlemek için IPIDEA'yı kullanan tehdit aktörlerini de gözlemledi. Yalnızca Ocak ayında, yedi gün içinde Google, IPIDEA çıkış düğümlerini kullanarak faaliyetlerini gizlemeye çalışan 550'den fazla siber grubun izini sürmeyi başardı. Bunlar arasında Çin, İran, Kuzey Kore ve Rusya'dan gruplar vardı. Bunu kurbanların Hizmet Olarak Güvenlik (SaaS) ortamlarına ve yerel altyapılarına yetkisiz erişim sağlamak için kullandılar ve parola püskürtme saldırıları başlattılar.
Soruşturma sırasında Google siber güvenlik araştırmacıları, komuta ve kontrol ağının Seviye 1 alanlarına referanslar içeren 3.075 Windows çalıştırılabilir dosyası ve 600'den fazla Android uygulaması buldu. Mobil uygulamalar büyük ölçüde normal araç, oyun veya içerik görüntüleme yeteneklerine sahipti ancak para kazanma için IPIDEA SDK'larından yararlandı ve proxy davranışını etkinleştirdi. Analiz, ilgili tarafların sistemlerinde olası istilaları kontrol etmek için kullanabileceği bazı uzlaşma göstergeleri (IOC) ile sona eriyor.
Duyurudan sonra devamını okuyun
Kimlik yönetimi sağlayıcısı Okta, 2024 yılında kimlik bilgisi doldurma saldırılarında artış olacağı konusunda uyardı. Bunlar aynı zamanda konut vekillerinden de geldi.
(Bilmiyorum)
Bir yanıt yazın