IPIDEA หนึ่งในเครือข่าย Residential Proxy รายใหญ่ที่สุดที่กลุ่มผู้ไม่หวังดีนิยมใช้งาน ถูกระงับการทำงานเมื่อช่วงต้นสัปดาห์ที่ผ่านมาโดย Google Threat Intelligence Group (GTIG) ภายใต้ความร่วมมือกับพันธมิตรในอุตสาหกรรม
การปฏิบัติการครั้งนี้รวมถึงการสั่งปิด Domain ที่เกี่ยวข้องกับบริการของ IPIDEA, ระบบจัดการอุปกรณ์ที่ติดมัลแวร์ และการกำหนด Traffic routing ของ Proxy นอกจากนี้ ยังมีการแบ่งปันข้อมูลเชิงลึกเกี่ยวกับชุดเครื่องมือพัฒนาซอฟต์แวร์ (SDK) ของ IPIDEA ที่ใช้ในการแพร่กระจายเครื่องมือ Proxy ดังกล่าวอีกด้วย
ผู้ดูแลระบบของ IPIDEA โฆษณาว่าบริการนี้เป็นบริการ VPN ที่ช่วยเข้ารหัสข้อมูลการใช้งานออนไลน์ และซ่อน IP address จริงของคุณ โดยอ้างว่ามีผู้ใช้งานทั่วโลกถึง 6.7 ล้านคน
เครือข่าย Residential Proxy จะใช้ IP address ของผู้ใช้งานตามบ้าน หรือธุรกิจขนาดเล็กในการส่งผ่านข้อมูลหลังจากที่โจมตีระบบเข้าควบคุมอุปกรณ์ในเครือข่ายนั้น ๆ ได้แล้ว โดยปกติแล้วการติดมัลแวร์จะเกิดขึ้นผ่านแอปพลิเคชัน หรือซอฟต์แวร์ที่ฝังโทรจันไว้ ซึ่งมักจะปลอมแปลงเป็นโปรแกรม Utility ทั่วไป
ในเอกสารที่ยื่นต่อศาล Google อธิบายว่า กลุ่มผู้ไม่หวังดีใช้ Residential Proxy ในกิจกรรมที่เป็นอันตรายหลายรูปแบบ เช่น การเข้าควบคุมบัญชีของผู้ใช้ (Account Takeover), การสร้างบัญชีปลอม, การขโมยข้อมูล Credential และการลักลอบดึงข้อมูลสำคัญออกไป
Google ระบุว่า "ด้วยการส่ง Traffic ผ่านอุปกรณ์ของผู้บริโภคจำนวนมหาศาลทั่วโลก ผู้โจมตีจะสามารถปกปิดกิจกรรมที่เป็นอันตรายของตนได้โดยการจดจำ หรือขโมยใช้งาน IP address เหล่านี้ ซึ่งสร้างความท้าทายอย่างมากให้แก่ผู้ดูแลความปลอดภัยของเครือข่ายในการตรวจจับ และสกัดกั้นกิจกรรมที่ผิดปกติ"
ในกรณีของ IPIDEA ทางกลุ่ม GTIG ตรวจพบกิจกรรมที่เป็นอันตรายหลากหลายรูปแบบ โดยพบว่ามีกลุ่มผู้ไม่หวังดีที่แตกต่างกันกว่า 550 กลุ่ม เข้าใช้งาน Exit Node ของเครือข่ายนี้ภายในสัปดาห์เดียว ซึ่งรวมถึงกลุ่มผู้ไม่หวังดีจากจีน, อิหร่าน, รัสเซีย และเกาหลีเหนือ
กิจกรรมที่ตรวจพบมีตั้งแต่การลักลอบเข้าถึงแพลตฟอร์ม SaaS ของเหยื่อ, การทำ Password Spraying, การควบคุม Botnet และการซ่อนโครงสร้างพื้นฐาน ซึ่งก่อนหน้านี้ Cisco Talos เคยเชื่อมโยง IPIDEA เข้ากับการโจมตีแบบ Brute-force ขนาดใหญ่ที่มุ่งเป้าไปยังบริการ VPN และ SSH อีกด้วย
โครงสร้างพื้นฐานของ IPIDEA ยังรองรับการทำงานของ Botnet สำหรับการโจมตีแบบ DDoS ที่ทำลายสถิติอย่าง Aisuru และ Kimwolf อีกด้วย
Google ระบุว่า IPIDEA ดึงอุปกรณ์เข้าสู่เครือข่ายโดยใช้แอปพลิเคชัน Android ที่ฝังโทรจันไว้อย่างน้อย 600 แอป ซึ่งมีการฝังชุดเครื่องมือ SDK สำหรับทำ Proxy เอาไว้ (ได้แก่ Packet SDK, Castar SDK, Hex SDK และ Earn SDK) นอกจากนี้ยังพบไฟล์ Binary ของ Windows อีกกว่า 3,000 ไฟล์ที่ฝังโทรจันโดยปลอมแปลงเป็นโปรแกรมอย่าง OneDriveSync หรือ Windows Update
IPIDEA ได้โปรโมตแอป VPN และแอป Proxy หลายตัวให้กับผู้ใช้งาน Android ซึ่งแอปเหล่านี้จะแอบเปลี่ยนอุปกรณ์ของผู้ใช้ให้กลายเป็น Exit Node ของ Proxy โดยที่เจ้าของเครื่องไม่รู้ตัว หรือไม่ได้รับการยินยอม
ข้อมูลจาก Google ระบุว่า ผู้ดูแลระบบของ IPIDEA ได้ดำเนินธุรกิจ Residential Proxy อย่างน้อย 19 แห่งที่แอบอ้างว่าเป็นบริการที่ถูกกฎหมาย แต่อันที่จริงเป็นการขายสิทธิ์การเข้าถึงอุปกรณ์ที่ติดมัลแวร์ BadBox 2.0 โดยมีแบรนด์ในเครือบางส่วนดังนี้
- 360 Proxy (360proxy\.com)
- 922 Proxy (922proxy\.com)
- ABC Proxy (abcproxy\.com)
- Cherry Proxy (cherryproxy\.com)
- Door VPN (doorvpn\.com)
- Galleon VPN (galleonvpn\.com)
- IP 2 World (ip2world\.com)
- Ipidea (ipidea\.io)
- Luna Proxy (lunaproxy\.com)
- PIA S5 Proxy (piaproxy\.com)
- PY Proxy (pyproxy\.com)
- Radish VPN (radishvpn\.com)
- Tab Proxy (tabproxy\.com)
- Aman VPN (defunct)
แม้จะมีหลากหลายแบรนด์ แต่บริการทั้งหมดนี้เชื่อมต่อกับโครงสร้างพื้นฐานส่วนกลางที่อยู่ภายใต้การควบคุมเพียงหนึ่งเดียวของผู้ดูแลระบบ IPIDEA ซึ่งปัจจุบันยังไม่สามารถระบุตัวตนได้
ในขณะนี้ Google Play Protect จะตรวจจับ และบล็อกแอปพลิเคชันที่มีชุดเครื่องมือ (SDK) ที่เกี่ยวข้องกับ IPIDEA โดยอัตโนมัติ บนอุปกรณ์ Android ที่ได้รับการรับรอง และมีการอัปเดตซอฟต์แวร์เป็นปัจจุบัน
ในส่วนของโครงสร้างทางเทคนิค Google อธิบายว่า IPIDEA ทำงานบนระบบ Command-and-Control (C2) แบบสองระดับ โดยระดับแรกจะทำหน้าที่ส่งค่า Configuration และ Timing รวมถึง Node lists สำหรับการทำงานในระดับที่สอง
จากข้อมูลของนักวิจัย ระบบในระดับที่สองประกอบด้วยเซิร์ฟเวอร์ประมาณ 7,400 เครื่อง ซึ่งมีหน้าที่มอบหมายงานด้าน Proxy และ Relay traffic
นักวิจัยของ Google ตั้งข้อสังเกตว่า ผู้ดูแลเครือข่ายเหล่านี้ยังได้เสนอเครื่องมือ VPN ให้ใช้ฟรีผ่านแอปพลิเคชันที่มีฟังก์ชันการทำงานตามที่โฆษณาไว้จริง อย่างไรก็ตาม อุปกรณ์เหล่านั้นจะถูกแอบดึงเข้าสู่เครือข่ายของ IPIDEA และทำหน้าที่เป็น Exit Node ไปด้วยในตัว
แม้ว่าการปฏิบัติการของ GTIG และพันธมิตรน่าจะส่งผลกระทบอย่างมีนัยสำคัญต่อการดำเนินงานของ IPIDEA แต่กลุ่มผู้ไม่หวังดีอาจพยายามสร้างโครงสร้างพื้นฐานขึ้นมาใหม่ โดยในขณะนี้ยังไม่มีการประกาศจับกุม หรือการส่งฟ้องดำเนินคดีแต่อย่างใด
ผู้ใช้งานควรระมัดระวังแอปพลิเคชันที่เสนอการจ่ายเงินเพื่อแลกกับการแบ่งปัน Bandwidth รวมถึงแอป VPN และแอป Proxy ฟรีจากผู้พัฒนาที่ไม่มีชื่อเสียงหรือขาดความน่าเชื่อถือ
ที่มา : bleepingcomputer
You must be logged in to post a comment.