Aleksandar Božović
Google je zadao ozbiljan udarac jednoj od najskrivenijih internet infrastruktura današnjice: proxy mreži poznatoj kao IPIDEA, koja je neprimetno koristila internet konekcije miliona pametnih telefona, PC računara i povezanih uređaja širom sveta.
Reč je o tzv. residential proxy mreži, tipu infrastrukture koju uglavnom poznaju samo bezbednosni stručnjaci. Umesto da zlonamerni saobraćaj ide preko data centara koje je lako blokirati, napadači koriste stvarne kućne IP adrese, poput vaše, kako bi prikrili poreklo napada. Upravo to je IPIDEA omogućavala i to u ogromnom obimu.
Mreža u službi kriminala i špijunaže
Google Threat Intelligence Group (GTIG) navodi da je IPIDEA bila ugrađena u stotine aplikacija i SDK paketa kao što su PacketSDK, EarnSDK, HexSDK i CastarSDK, koje su programeri koristili za monetizaciju. Nakon instalacije, ovi SDK-ovi su mogli da uključe uređaj u IPIDEA proxy mrežu bez jasnog obaveštenja korisniku, čime je uređaj postajao izlazna tačka za preusmeravanje tuđeg internet saobraćaja.
Posledice su bile ozbiljne. Prema Google-u, u samo jednoj nedelji ovog meseca više od 550 praćenih hakerskih i špijunskih grupa koristilo je ovu mrežu. Među njima su bile i napredne APT grupe povezane sa Kinom, Rusijom, Iranom i Severnom Korejom. Proxy infrastruktura je korišćena za krađu naloga, sajber špijunažu, DDoS napade i skrivanje komandno-kontrolnih servera.
Google je ove nedelje reagovao kombinacijom pravnih i tehničkih mera. Ugašeno je na desetinu domena povezanih sa IPIDEA mrežom, Google Play Protect je ažuriran kako bi otkrivao i uklanjao zaražene Android aplikacije, a podaci su podeljeni sa partnerima poput Cloudflare-a i Lumen Black Lotus Labs-a radi daljeg razbijanja infrastrukture.
Rezultat je značajan: broj kompromitovanih uređaja dostupan za zloupotrebu smanjen je za milione, uključujući uklanjanje oko devet miliona Android uređaja i stotina aplikacija. Iako mreža nije u potpunosti nestala, Google navodi da je njen dalji rast i masovna zloupotreba sada znatno otežana, prenosi Android Central.
Hmmm
Interesantno, poslednjih par meseci kada sam pokretao brozere sa zapamćenom Google stranicom tražio mi je logovanje na neki proxy. Da li je to imalo veze sa ovim ... I wonder ...