サイバー犯罪者、スパイ活動グループ、データ窃盗犯によってプロキシとして利用されていた数百万台のデバイスが、中国拠点のレジデンシャル・プロキシ・ネットワーク「IPIDEA」に対するGoogleの妨害措置を受けて流通から排除された。利用可能なプロキシ・デバイスの減少は、GoogleのThreat Intelligence Groupが法的措置と情報共有を用いて同社のドメイン・インフラを標的にした後に起きたと、Googleは水曜日のブログ投稿で述べた。
Cloudflare、LumenのBlack Lotus Labs、Spurの支援を受けたGoogleの措置により、IPIDEAのプロキシ・インフラの一部は機能不全に陥ったが、すべてではない。悪意あるインフラに対する協調的な攻撃は、脅威ハンターがサイバー犯罪者の巨大で拡大し続けるインフラの一部を排除する際に直面する、いたちごっこの闘いを浮き彫りにしている。
初期データによれば、IPIDEAのプロキシ・ネットワークは約40%削減された。
「依然として約500万の異なるボットがIPIDEAのコマンド・アンド・コントロール(C2)サーバーと通信しているのを確認しており、現時点では大量のプロキシを用いて運用できている」と、Lumen TechnologiesのBlack Lotus Labsでシニア・リード情報セキュリティエンジニアを務めるChris Formosa氏は木曜日、CyberScoopに語った。
Lumenは今週、IPIDEAの一部ドメインがオフラインになる前、IPIDEAのサーバーに接続するプロキシが1日平均約850万あることを追跡していた。「実際の母集団はおそらく1,000万〜1,100万に近かったが、当社の可視性では850万しか把握できなかった」とFormosa氏は述べた。
Googleの研究者は、IPIDEAが管理する、一見独立しているように見えるプロキシおよび仮想プライベートネットワーク(VPN)ブランドのクラスターを発見した。Googleはまた、既存アプリケーションに組み込まれたレジデンシャル・プロキシ向けソフトウェア開発キット(SDK)を支える、IPIDEA所有の複数のドメインを見つけた。
開発者がこれらのSDKを自分のアプリに追加すると、通常はダウンロード数に応じてIPIDEAから報酬が支払われる。「これらのSDKは、あらゆるレジデンシャル・プロキシ・ネットワークの要であり、組み込まれるソフトウェアが、健全なレジデンシャル・プロキシ・ネットワークを維持するために必要な数百万台のデバイスを運営者に提供する」とGoogleは報告書で述べた。
レジデンシャル・プロキシ・ネットワークは正当な目的にも利用され得るが、研究者らは、非倫理的、あるいは明確に犯罪的な運営者がこれらのネットワークを悪用してボットネットを構築・支援し、サイバー犯罪キャンペーン、諜報活動、その他の悪意ある活動を行っていると警告してきた。
「レジデンシャル・プロキシ業界は急速に拡大しているように見え、GTIGの調査は、その成長の大半が悪意ある利用によって促進されていることを示している」と、GTIGのシニアマネージャーであるCharley Snyder氏はCyberScoopに語った。「GTIGは、これらのプロキシが圧倒的に悪意ある行為者によって誤用されていることを突き止めた。」
研究者らによれば、多くのサービス提供者が、ユーザーがダウンロードしているソフトウェアにプロキシ用マルウェアを同梱しており、ユーザーは気づかないまま、プロキシ・ネットワークが消費者の帯域を乗っ取ってサイバー犯罪を隠蔽することを許してしまっている。
今月初め、Googleは7日間の期間に、IPIDEAの出口ノードとして追跡されているIPアドレスを、中国、北朝鮮、イラン、ロシアの一部を含む550以上の異なる脅威グループが利用しているのを観測したと述べた。Googleによれば、これらの脅威グループは被害者のクラウド環境やオンプレミスのインフラにアクセスし、パスワード・スプレー攻撃を開始した。
セキュリティチームやサイバー当局は、サイバー犯罪を支えるシステムや足場により多くの注意を向けており、実質的に資源を絞り、活動に追加の圧力をかけようとしている。
「犯罪者そのものではなく、犯罪者が使うツールを標的にすることで、防御側は、容易にも迅速にも再生できない形でエコシステムに大きなコストを課すことができる」とSnyder氏は述べた。
さらに同氏は、Googleの措置により、運営者と数百万台のデバイスの間のコマンド・アンド・コントロールのリンクが断たれ、ストアフロントが停止し、IPIDEAがブランド認知と勢いを得るために行った投資が無効化されたと付け加えた。
GoogleはIPIDEAのインフラに大きな打撃を与えたが、同社や他社に対する闘いは続く。
「これは非常に複雑なエコシステムで、数十、場合によっては数百のブランドやペーパーカンパニーが存在する」とSnyder氏は述べた。「今回の妨害は大きいが、このエコシステムは匿名性と共有資源の上に成り立っている。彼らはこれまでもテイクダウンを生き延びてきた。私たちは達成した進展に満足しているが、まだやるべきことがあるのも分かっている。」
翻訳元: https://cyberscoop.com/ipidea-proxy-network-disrupted-google-lumen/
