Experți în securitate avertizează că milioane de dispozitive conectate la internet au fost compromise și folosite, fără știrea proprietarilor, ca parte a rețelelor proxy rezidențiale care ascund originea atacurilor cibernetice, inclusiv operațiuni atribuite Rusiei și Chinei.
Investigații inițiate după un schimb de informații între Microsoft și Comcast au scos la iveală că grupări precum Midnight Blizzard, legată de serviciul de informații extern al Rusiei, au redirecționat traficul prin conexiuni rezidențiale pentru a masca atacurile. Ancheta a început în februarie 2024, plecând de la şase adrese IP semnalate de Microsoft.
Specialiștii au constatat că dispozitive ieftine destinate consumatorilor — de la boxe de streaming până la rame foto digitale — erau livrate cu software ascuns instalat din fabrică, iar în alte cazuri programe similare erau distribuite prin aplicații mobile sau copii piratate ale jocurilor. Aceste programe permit ca un utilizator din străinătate să pară conectat dintr-o locuință americană, folosind adresa IP a proprietarului compromis.
Organizația Digital Citizens Alliance estimează că în Statele Unite ar putea exista circa 20 de milioane de astfel de «uși din spate». Cercetările Comcast au identificat inițial o rețea de aproximativ 750.000 de conexiuni rezidențiale și comerciale administrate de o companie chineză, IPidea. Google a obținut un ordin judecătoresc pentru dezactivarea infrastructurii IPidea, dar rețeaua a revenit rapid, folosind noi dispozitive compromise.
Experții atrag atenția că aceste rețele nu servesc doar la ascunderea identității atacatorilor: ele pot facilita accesul la alte dispozitive din aceeași rețea, compromițând telefoane, laptopuri sau chiar rețele corporative. Metode noi, cum ar fi invitațiile false la întâlniri Microsoft Teams folosite pentru a compromite conturi Microsoft 365, devin mult mai greu de detectat când autentificările par să vină din SUA.
Reprezentanți ai Comcast și ai firmelor de securitate, precum CrowdStrike și Volexity, subliniază că rețelele proxy rezidențiale au devenit infrastructuri-cheie pentru spionajul cibernetic, furtul identităților digitale şi accesul la credențiale pentru servicii cloud.
Comentarii recente