Twój telefon lub router mógł być jednym z 17 milionów urządzeń po cichu wynajmowanych obcym

Botnet nie zawsze zdradza się spowolnieniem telefonu czy zalewem wyskakujących okien. Sieć, którą właśnie rozbiła holenderska policja, nie robiła prawie nic, co zauważyłby zwykły właściciel. Po cichu pożyczała ułamek mocy ponad 17 milionów urządzeń, w tym komputerów, smartfonów, tabletów, domowych routerów i sprzętu podłączonego do internetu, a ich łącza wynajmowała obcym. Jeśli jedno z tych urządzeń było twoje, ktoś, kogo nigdy nie poznasz, mógł przez miesiące przeglądać strony, pobierać dane albo atakować witryny przez twoje domowe łącze.

Holenderska policja krajowa i krajowe Centrum Cyberbezpieczeństwa zakończyły operację po przejęciu około 200 serwerów od dostawcy hostingu na terenie Holandii. Śledczy opisują sieć jako usługę proxy rezydenckiego, czyli system, który kieruje ruch jednych przez prawdziwe urządzenia innych, tak aby wyglądał jak zwykłe domowe przeglądanie. To przebranie jest właśnie całym produktem. Ruch, który zdaje się pochodzić z prawdziwego adresu domowego, prześlizguje się obok filtrów antyfraudowych, które natychmiast zablokowałyby znany serwer z centrum danych, i właśnie dlatego proxy rezydenckie są cenione przez reklamodawców, zbieraczy danych i przestępców na równi.

Holenderskie media powiązały tę infrastrukturę z ASOCKS, firmą z siedzibą w Rosji, która komercyjnie sprzedaje dostęp do proxy rezydenckich i mobilnych. Na pierwszy rzut oka ASOCKS wygląda jak zwykły biznes abonamentowy. Problemem jest to, skąd biorą się jej domowe łącza. Badacze bezpieczeństwa od lat ostrzegają, że duża część urządzeń zasilających takie sieci nigdy nie została świadomie zapisana, a ich właściciele nie mieli pojęcia, że ich pasmo jest na sprzedaż.

Urządzenia werbowano na kilka sposobów, a niemal wszystkie sprowadzają się do źle ulokowanego zaufania do darmowego oprogramowania. Część osób zainstalowała darmową aplikację, tapetę, narzędzie do telefonu albo nieoficjalny VPN, który w tle po cichu dokładał oprogramowanie proxy. W Androidzie biblioteka kodu o nazwie PROXYLIB, ukryta w zestawie deweloperskim, który twórcy aplikacji wstawiali do swoich produktów, zapisywała telefony jako węzły proxy bez pytania. Inne maszyny zainfekowano złośliwym oprogramowaniem, które wprost instalowało tę samą funkcję. W każdym przypadku urządzenie działało normalnie, podczas gdy jego łącze pracowało dla kogoś innego.

Gdy urządzenie trafiło do puli, jego łącze można było wykorzystać do niemal wszystkiego, co zyskuje na wyglądaniu jak niewinny domowy użytkownik. Holenderskie władze twierdzą, że sieć zasilała kampanie phishingowe, spam, ataki typu odmowa usługi, które wyłączają serwisy online, próby logowania metodą brute-force i credential stuffing, oszustwa klikowe oraz schematy SMS premium, które po cichu drenują pieniądze. Pojedynczy przejęty router sam z siebie niewiele zdziała. Siedemnaście milionów, zebranych razem, staje się poważną infrastrukturą.

Rozbicie jest prawdziwe, ale nie jest lekarstwem. Policja przejęła serwery koordynujące sieć, lecz strona ASOCKS po wszystkim wciąż była dostępna i nie wiadomo, ile z leżącego u podstaw biznesu faktycznie zniszczono. Odcięcie serwerów dowodzenia nie czyści automatycznie 17 milionów urządzeń, bo dołączony kod proxy i złośliwe oprogramowanie mogą tkwić nietknięte w telefonie albo routerze, dopóki nie przejmie ich nowy operator. Do tego nadużywanie proxy rezydenckich to rynek, a nie jedna firma. Zamykasz jedną sieć, a popyt przenosi się do następnej, bo legalny apetyt na prawdziwe adresy, od firm weryfikujących reklamy po firmy od sztucznej inteligencji przeczesujące sieć, utrzymuje ten model dochodowym.

Dla skali: 17 milionów urządzeń stawia tę sieć wśród największych proxy kiedykolwiek wyłączonych, znacznie powyżej wielu botnetów malware, które trafiają na czołówki za rozsianie jednego wirusa. W odróżnieniu od infekcji ransomware rzadko jednak pojawia się wyraźny objaw. Tropy bywają przyziemne: router, który się grzeje albo restartuje bez powodu, domowy abonament, który ciągle obija się o limit danych, telefon, którego zużycie baterii i danych nie pasuje do realnego korzystania, albo strony, które każą rozwiązywać captcha raz za razem, bo twój adres wydaje im się podejrzany.

Ponieważ zainfekowane urządzenia były rozsiane po całym świecie, a nie skupione w jednym kraju, ryzyko nie jest regionalne. Każdy, kto korzysta ze starego routera albo taniego telefonu z Androidem pełnego darmowych narzędzi, mógł zostać w to wciągnięty. Praktyczne sposoby obrony są mało efektowne i dobrze znane: aktualizuj routery i telefony, kasuj darmowe aplikacje, z których naprawdę nie korzystasz, omijaj oprogramowanie pobierane spoza oficjalnych sklepów i nieoficjalne VPN-y obiecujące coś za darmo, a router działający nietknięty od lat po prostu zrestartuj.

Sprawa zaczęła się, gdy badacz bezpieczeństwa zgłosił Centrum Cyberbezpieczeństwa podejrzaną aktywność proxy, a holenderskie władze zasygnalizowały, że analiza przejętych serwerów trwa, na razie bez ogłoszonych zatrzymań. Pokazuje ona jasno, że gospodarka urządzeń obejmuje już czarny rynek twojego pasma. Następnym razem, gdy aplikacja będzie darmowa, sprzedawanym produktem może być łącze internetowe, za które już płacisz.