از VPN تا بدافزار: شبکه بدافزاری IPIDEA توسط گوگل مختل شد

گوگل با همکاری شرکای امنیتی خود یکی از بزرگ‌ترین شبکه‌های پروکسی خانگی جهان را که با سوءاستفاده از میلیون‌ها دستگاه آلوده فعالیت می‌کرد، از کار انداخت؛ شبکه‌ای که سال‌ها به‌عنوان پوششی برای عملیات سایبری گروه‌های تهدید دولتی و مجرمانه استفاده می‌شد.

به گزارش افتانا، گوگل اعلام کرد که در عملیاتی هماهنگ از سوی گروه اطلاعات تهدید این شرکت (GTIG)، زیرساخت‌های مرتبط با شبکه پروکسی خانگی IPIDEA را مختل کرده است. این اقدام شامل از کار انداختن دامنه‌های مرتبط با سرویس‌های IPIDEA، سامانه‌های مدیریت دستگاه‌های آلوده و مسیرهای هدایت ترافیک پروکسی بوده و هم‌زمان اطلاعات فنی مربوط به کیت‌های توسعه نرم‌افزاری مورد استفاده این شبکه با سایر بازیگران صنعت امنیت به اشتراک گذاشته شده است.

IPIDEA خود را به‌عنوان یک سرویس VPN معرفی می‌کرد که با رمزنگاری ترافیک اینترنت و مخفی‌سازی آدرس IP، حریم خصوصی کاربران را حفظ می‌کند و مدعی بود ۶.۷ میلیون کاربر در سراسر جهان دارد. با این حال، بررسی‌های گوگل نشان می‌دهد این شبکه در واقع از طریق آلوده‌سازی دستگاه‌های کاربران خانگی و کسب‌وکارهای کوچک، آن‌ها را بدون اطلاع یا رضایت‌شان به نودهای خروجی پروکسی تبدیل کرده است.

به گفته گوگل، شبکه‌های پروکسی خانگی با عبور دادن ترافیک مهاجمان از آدرس‌های IP واقعی کاربران عادی، شناسایی و مسدودسازی فعالیت‌های مخرب را برای مدافعان شبکه بسیار دشوار می‌کنند. این زیرساخت‌ها معمولاً از طریق اپلیکیشن‌ها و نرم‌افزارهای دستکاری‌شده که در ظاهر ابزارهای کاربردی هستند، دستگاه‌ها را آلوده می‌کنند و سپس از پهنای باند آن‌ها برای مقاصد مجرمانه بهره می‌برند. بر اساس مشاهدات GTIG، فقط در بازه یک‌هفته‌ای، بیش از ۵۵۰ گروه تهدید مختلف از نودهای خروجی IPIDEA سوءاستفاده کرده‌اند. این فعالیت‌ها شامل دسترسی غیرمجاز به پلتفرم‌های SaaS قربانیان، حملات password spraying، کنترل بات‌نت‌ها و پنهان‌سازی زیرساخت‌های حمله بوده است.

پیش‌تر نیز سیسکو تالوس،IPIDEA را به حملات گسترده brute-force علیه سرویس‌های VPN و SSH مرتبط دانسته بود و مشخص شده که این زیرساخت از بات‌نت‌های عظیم حملات DDoS مانند Aisuru و Kimwolf نیز پشتیبانی می‌کرده است.

گوگل اعلام کرده است که IPIDEA برای گسترش شبکه خود از دست‌کم ۶۰۰ اپلیکیشن آلوده اندرویدی و بیش از ۳۰۰۰ فایل آلوده ویندوزی استفاده کرده که خود را به‌روزرسانی‌های رسمی یا ابزارهایی مانند OneDrive Sync معرفی می‌کردند. این اپلیکیشن‌ها حاوی SDKهایی بودند که به‌طور پنهانی قابلیت پروکسی را فعال می‌کردند و دستگاه کاربر را به بخشی از شبکه IPIDEA تبدیل می‌کردند.

به گفته گوگل، اپراتورهای این شبکه با راه‌اندازی حداقل ۱۹ برند مختلف پروکسی و VPN، ظاهری قانونی برای فعالیت‌های خود ایجاد کرده بودند، در حالی که تمامی این سرویس‌ها به یک زیرساخت متمرکز و تحت کنترل یک گروه ناشناس متصل بودند. Google Play Protect اکنون به‌صورت خودکار اپلیکیشن‌های دارای SDKهای مرتبط با IPIDEA را روی دستگاه‌های اندرویدی به‌روز و تأییدشده، شناسایی و مسدود می‌کند. از جمله VPNها و سرویس‌های پروکسی پرخطر متصل به زیرساخت IPIDEA می‌توان به 360 Proxy، 922 Proxy، ABC Proxy، Cherry Proxy، Door VPN، Galleon VPN، IP 2 World، Ipidea، Luna Proxy، PIA S5 Proxy، PY Proxy، Radish VPN، Tab Proxy و Aman VPN (که اکنون غیرفعال است) اشاره کرد.

بررسی ساختار فنی IPIDEA نشان می‌دهد این شبکه از یک سامانه فرماندهی و کنترل دو‌لایه استفاده می‌کرد که در آن، لایه نخست وظیفه ارسال تنظیمات و فهرست نودها را بر عهده داشت و لایه دوم متشکل از حدود ۷۴۰۰ سرور بود که ترافیک پروکسی را مدیریت و منتقل می‌کردند. هرچند گوگل معتقد است این عملیات، ضربه جدی به فعالیت‌های IPIDEA وارد کرده، اما هشدار داده که امکان بازسازی زیرساخت توسط گردانندگان آن همچنان وجود دارد و تاکنون نیز هیچ بازداشت یا اعلام جرم رسمی در این پرونده صورت نگرفته است.

گوگل به کاربران توصیه کرده است نسبت به اپلیکیشن‌هایی که در ازای اشتراک‌گذاری پهنای باند وعده پرداخت می‌دهند و همچنین VPNها و پروکسی‌های رایگان با ناشران نامعتبر، بااحتیاط برخورد کنند؛ چرا که چنین سرویس‌هایی می‌توانند پوششی برای سوءاستفاده گسترده از دستگاه‌های شخصی باشند.