谷歌威胁情报小组(GTIG)本周宣布,已联合多个合作伙伴对被认为是全球最大的住宅代理网络之一IPIDEA实施了重大打击。此次行动旨在破坏该网络的基础设施,该网络长期被广泛的恶意行为者用作掩盖其活动的跳板。据谷歌称,此次联合执法行动已导致IPIDEA的代理网络和业务运营遭受严重降级,数百万设备池被移除。
此次行动的核心包括三个方面:首先,谷歌采取了法律行动,用以关闭用于控制设备和代理流量的域名。其次,GTIG向平台提供商、执法机构和研究公司分享了发现的IPIDEA软件开发工具包(SDK)和代理软件的技术情报。第三,谷歌利用Android的安全保护措施,确保Google Play Protect自动警告并移除已知包含IPIDEA SDK的应用,并阻止未来安装。
住宅代理网络通过向客户出售通过住宅或小型企业ISP拥有的IP地址路由流量的能力而运作。攻击者通过劫持这些全球消费设备上的IP地址来掩盖恶意活动,这对网络防御者构成了重大的检测和阻断挑战。要维持这种网络,运营商需要控制数百万住宅IP地址,并要求设备上运行的代码将其注册为出口节点。
GTIG的研究表明,住宅代理网络的使用压倒性地被恶意行为者滥用,IPIDEA尤其因其在协助多个僵尸网络(如BadBox2.0、Aisuru和Kimwolf)中的作用而臭名昭著。在今年一月的一个七天周期内,GTIG观测到超过550个被追踪的威胁组织利用IPIDEA出口节点来混淆其活动,包括对SaaS环境的访问和密码喷洒攻击。
除了协助网络犯罪外,这些代理网络还对普通用户设备构成安全风险。用户设备被用作出口节点时,未经控制的网络流量会流经其设备,可能暴露其网络上的私有设备给互联网。谷歌的分析确认,IPIDEA代理不仅路由流量,还会向设备发送流量,以期进一步进行渗透。
分析显示,许多知名的住宅代理和VPN品牌实际上与IPIDEA由同一批行为者控制,包括Cherry Proxy等。这些行为者通过向开发者提供SDK(如EarnSDK、PacketSDK),诱使其将代码嵌入应用中以换取收益,从而秘密地将用户设备纳入代理网络。
通过对嵌入式软件的静态和动态分析,研究人员识别出用于管理代理出口节点和路由流量的命令与控制(C2)基础设施。分析发现,多个SDK在C2基础设施和代码结构上存在显著重叠,表明其运营模型是统一管理的。谷歌相信,由于代理运营商之间存在经销商协议,此次执法行动可能对附属实体产生连锁影响。
