Google anunció que colaboró con otros socios para desmantelar
IPIDEA, descrita como una de las redes de proxy residenciales más grandes del
mundo.
Para ello, la compañía afirmó haber emprendido acciones legales para
desmantelar docenas de dominios utilizados para controlar dispositivos y el
tráfico proxy a través de ellos. Al momento de redactar este artículo, el
sitio web de IPIDEA («www.ipidea[.]io») ya no es accesible. La empresa
se promocionaba como el «proveedor líder mundial de proxy IP», con más
de 6,1 millones de direcciones IP actualizadas diariamente y 69.000 nuevas
direcciones IP diarias.
«Las redes de proxy residenciales se han convertido en una herramienta
omnipresente para todo, desde espionaje de alto nivel hasta planes
delictivos masivos»,
declaró John Hultquist, analista jefe de Google Threat Intelligence Group (GTIG).
IPIDEA se ha hecho conocido por su papel en la facilitación de varias botnets:
sus kits de desarrollo de software desempeñaron un papel clave en la
incorporación de dispositivos a las botnets, y su software proxy fue
posteriormente utilizado por actores maliciosos para controlarlas. Esto
incluye la
botnet BadBox2.0, y las botnets Aisuru y Kimwolf más recientemente.
Al enrutar el tráfico a través de la conexión a internet doméstica, los
atacantes pueden ocultarse a simple vista mientras se infiltran en entornos
corporativos. Al desmantelar la infraestructura utilizada para operar la red
IPIDEA, hemos desmantelado un mercado global que vendía acceso a millones de
dispositivos de consumo pirateados.
Google afirmó que,
tan solo este mes, la infraestructura proxy de IPIDEA ha sido utilizada por
más de 550 grupos de amenazas individuales
con diversas motivaciones, como ciberdelincuencia, espionaje, amenazas
persistentes avanzadas (APT) y operaciones de información, provenientes de
todo el mundo, incluyendo China, Corea del Norte, Irán y Rusia. Estas
actividades abarcan desde el acceso a entornos SaaS de las víctimas,
infraestructura local y ataques de rociado de contraseñas.
En un
análisis publicado a principios de este mes, Synthient reveló que los actores de amenazas detrás de la botnet
AISURU/Kimwolf estaban abusando de las fallas de seguridad en servicios proxy
residenciales como IPIDEA para retransmitir comandos maliciosos a dispositivos
vulnerables del Internet de las Cosas (IoT) tras un firewall dentro de redes
locales y propagar el malware.
El malware que convierte los dispositivos de consumo en
endpoints proxy se integra sigilosamente en aplicaciones y juegos
preinstalados en dispositivos de streaming Android TV de otras marcas. Esto
obliga al dispositivo infectado a retransmitir tráfico malicioso y a
participar en ataques de denegación de servicio distribuido (DDoS).
Se dice que IPIDEA también ha lanzado aplicaciones independientes,
comercializadas directamente a personas que buscan ganar dinero fácil,
anunciando abiertamente que pagarán a los consumidores por instalar la
aplicación y permitirles usar su ancho de banda no utilizado.
Si bien las redes proxy residenciales ofrecen la posibilidad de enrutar el
tráfico a través de direcciones IP propiedad de los proveedores de servicios
de internet (ISP), esto también puede ser la tapadera perfecta para los
ciberdelincuentes que buscan ocultar el origen de su actividad maliciosa.
«Para ello, los operadores de redes proxy residenciales necesitan código
que se ejecute en los dispositivos de consumo para registrarlos en la red
como nodos de salida», explicó GTIG. Estos dispositivos vienen preinstalados con software proxy o
se conectan a la red proxy cuando los usuarios, sin saberlo, descargan
aplicaciones troyanizadas con código proxy integrado. Algunos usuarios pueden
instalar este software en sus dispositivos a sabiendas, atraídos por la
promesa de monetizar su ancho de banda disponible.
Fuente:
THN