Google ugasio opasnu nevidljivu mrežu: Tajno je koristila vaš internet sa telefona
Reč je o tzv. residential proxy mreži, tipu infrastrukture koju uglavnom poznaju samo bezbednosni stručnjaci. Umesto da zlonamerni saobraćaj ide preko data centara koje je lako blokirati, napadači koriste stvarne kućne IP adrese, poput vaše, kako bi prikrili poreklo napada. Upravo to je IPIDEA omogućavala i to u ogromnom obimu.
Mreža u službi kriminala i špijunaže
Google Threat Intelligence Group (GTIG) navodi da je IPIDEA bila ugrađena u stotine aplikacija i SDK paketa kao što su PacketSDK, EarnSDK, HexSDK i CastarSDK, koje su programeri koristili za monetizaciju. Nakon instalacije, ovi SDK-ovi su mogli da uključe uređaj u IPIDEA proxy mrežu bez jasnog obaveštenja korisniku, čime je uređaj postajao izlazna tačka za preusmeravanje tuđeg internet saobraćaja.
Posledice su bile ozbiljne. Prema Google-u, u samo jednoj nedelji ovog meseca više od 550 praćenih hakerskih i špijunskih grupa koristilo je ovu mrežu. Među njima su bile i napredne APT grupe povezane sa Kinom, Rusijom, Iranom i Severnom Korejom. Proxy infrastruktura je korišćena za krađu naloga, sajber špijunažu, DDoS napade i skrivanje komandno-kontrolnih servera.
Google je ove nedelje reagovao kombinacijom pravnih i tehničkih mera. Ugašeno je na desetinu domena povezanih sa IPIDEA mrežom, Google Play Protect je ažuriran kako bi otkrivao i uklanjao zaražene Android aplikacije, a podaci su podeljeni sa partnerima poput Cloudflare-a i Lumen Black Lotus Labs-a radi daljeg razbijanja infrastrukture.
Rezultat je značajan: broj kompromitovanih uređaja dostupan za zloupotrebu smanjen je za milione, uključujući uklanjanje oko devet miliona Android uređaja i stotina aplikacija. Iako mreža nije u potpunosti nestala, Google navodi da je njen dalji rast i masovna zloupotreba sada znatno otežana, prenosi Android Central.
Kurir.rs/benchmark
Bonus video:
Ovakva operacija se ne viđa često