به گزارش بخش اخبار فناوری زوم تک به نقل از Bleeping Computer، گوگل با همکاری شرکای صنعتی خود موفق شد یکی از بزرگ ترین شبکه های پروکسی مسکونی (Residential Proxy) به نام IPIDEA را که توسط عوامل تهدید در سراسر جهان مورد استفاده قرار میگرفت، متلاشی کند. این عملیات توسط گروه هوش تهدید گوگل (GTIG) هدایت شده و منجر به از دسترس خارج شدن دامنههای مرتبط با خدمات IPIDEA، مدیریت دستگاه های آلوده و مسیریابی ترافیک پروکسی شده است.
جزئیات عملیات گوگل علیه شبکه پروکسی IPIDEA
علاوه بر از کار انداختن زیرساختها، اطلاعات دقیقی درباره کیتهای توسعه نرمافزار (SDK) این شبکه که ابزارهای پروکسی را توزیع میکردند، منتشر شده است. گردانندگان IPIDEA سرویس خود را به عنوان یک VPN تبلیغ میکردند که «ترافیک آنلاین شما را رمزگذاری کرده و آدرس IP واقعی شما را مخفی میکند»؛ ادعایی که باعث جذب بیش از ۶.۷ میلیون کاربر در سراسر جهان شده بود.
پروکسی مسکونی چیست و چگونه دستگاه ها را آلوده میکند؟
شبکههای پروکسی مسکونی از آدرسهای IP کاربران خانگی یا کسبوکارهای کوچک برای مسیریابی ترافیک استفاده میکنند. این اتفاق معمولاً پس از آلوده شدن دستگاههای موجود در شبکه رخ میدهد. آلودگی اغلب از طریق اپلیکیشنهای تروجان و نرمافزارهایی که خود را به عنوان ابزارهای کاربردی جا میزنند، صورت میگیرد.
خطرات امنیتی و سوءاستفاده مهاجمان از آدرس های IP کاربران
گوگل در نامهای قضایی توضیح میدهد که عوامل تهدید از پروکسیهای مسکونی در فعالیتهای مجرمانه مختلفی مانند تسخیر حسابهای کاربری، ساخت حسابهای جعلی، سرقت اعتبارنامه (Credential Theft) و استخراج اطلاعات حساس استفاده میکنند. با مسیریابی ترافیک از طریق مجموعهای از دستگاههای مصرفکننده در سراسر جهان، مهاجمان میتوانند فعالیتهای مخرب خود را با ربودن این آدرسهای IP مخفی کنند، که این امر شناسایی و مسدود کردن حملات را برای مدافعان شبکه بسیار دشوار میسازد.

همکاری گروههای هکری بینالمللی با زیرساخت IPIDEA
بررسیهای گروه GTIG نشان داد که در یک هفته واحد، بیش از ۵۵۰ گروه تهدید متمایز از گرههای خروجی این شبکه استفاده کردهاند که شامل بازیگرانی از کشورهای چین، ایران، روسیه و کره شمالی میشد. فعالیتهای مشاهده شده شامل موارد زیر است:
- دسترسی به پلتفرمهای SaaS قربانیان
- حملات Password Spraying
- کنترل باتنتها و مخفیسازی زیرساختها
- حملات Brute-force در مقیاس بزرگ علیه سرویسهای VPN و SSH
همچنین زیرساختهای IPIDEA از باتنتهای رکوردشکن DDoS مانند Aisuru و Kimwolf پشتیبانی میکردند.
استفاده از اپلیکیشن های اندروید و فایل های ویندوز برای گسترش بدافزار
طبق گزارش گوگل، IPIDEA از حداقل ۶۰۰ اپلیکیشن اندرویدی آلوده که دارای SDKهای پروکسی (مانند Packet SDK، Castar SDK و غیره) بودند، برای عضویت اجباری دستگاهها استفاده کرده است. همچنین بیش از ۳۰۰۰ فایل باینری تروجان در ویندوز که خود را به جای OneDriveSync یا آپدیتهای ویندوز جا میزدند، در این شبکه نقش داشتند.
برندهای مرتبط با شبکه بدافزاری IPIDEA
اپراتورهای این شبکه حداقل ۱۹ کسبوکار پروکسی مسکونی را اداره میکردند که در ظاهر سرویسهای قانونی بودند اما در واقع دسترسی به دستگاههای آلوده به بدافزار BadBox 2.0 را میفروختند. برخی از این برندها عبارتند از:
- 360 Proxy
- 922 Proxy
- ABC Proxy
- Cherry Proxy
- Door VPN
- Galleon VPN
- IP 2 World
- Luna Proxy
- PIA S5 Proxy
- PY Proxy
- Radish VPN
- Tab Proxy

ساختار فرماندهی و کنترل (C2) دو لایه
گوگل توضیح میدهد که IPIDEA بر روی یک سیستم فرماندهی و کنترل (C2) دو لایه عمل میکرد. لایه اول تنظیمات و لیست گرهها را برای لایه دوم فراهم میکرد. لایه دوم شامل حدود ۷۴۰۰ سرور بود که وظایف پروکسی را تعیین و ترافیک را رله میکردند.
توصیه های ایمنی برای کاربران
در حال حاضر سرویس Google Play Protect به طور خودکار اپلیکیشنهای حاوی SDKهای مرتبط با IPIDEA را در دستگاههای اندرویدی شناسایی و مسدود میکند. با این حال، کارشناسان هشدار میدهند که کاربران باید نسبت به اپلیکیشنهایی که وعده پرداخت پول در ازای پهنای باند را میدهند یا VPNهای رایگان از ناشران ناشناخته، به شدت محتاط باشند.
آیا شما هم از اپلیکیشنهای VPN رایگان استفاده میکنید؟ نظرات خود را در بخش دیدگاهها با ما در میان بگذارید.





نظرات در مورد : ضربه مهلک گوگل به شبکه پروکسی IPIDEA؛ شناسایی و متلاشی شدن شبکه آلوده به بدافزار