Google interrumpe IPIDEA, la red proxy residenciales más grandes del mundo

Google anunció que colaboró ​​con otros socios para desmantelar IPIDEA, descrita como una de las redes de proxy residenciales más grandes del mundo.

Para ello, la compañía afirmó haber emprendido acciones legales para desmantelar docenas de dominios utilizados para controlar dispositivos y el tráfico proxy a través de ellos. Al momento de redactar este artículo, el sitio web de IPIDEA ("www.ipidea[.]io") ya no es accesible. La empresa se promocionaba como el "proveedor líder mundial de proxy IP", con más de 6,1 millones de direcciones IP actualizadas diariamente y 69.000 nuevas direcciones IP diarias.

"Las redes de proxy residenciales se han convertido en una herramienta omnipresente para todo, desde espionaje de alto nivel hasta planes delictivos masivos", declaró John Hultquist, analista jefe de Google Threat Intelligence Group (GTIG).

IPIDEA se ha hecho conocido por su papel en la facilitación de varias botnets: sus kits de desarrollo de software desempeñaron un papel clave en la incorporación de dispositivos a las botnets, y su software proxy fue posteriormente utilizado por actores maliciosos para controlarlas. Esto incluye la botnet BadBox2.0, y las botnets Aisuru y Kimwolf más recientemente.

Al enrutar el tráfico a través de la conexión a internet doméstica, los atacantes pueden ocultarse a simple vista mientras se infiltran en entornos corporativos. Al desmantelar la infraestructura utilizada para operar la red IPIDEA, hemos desmantelado un mercado global que vendía acceso a millones de dispositivos de consumo pirateados.

Google afirmó que, tan solo este mes, la infraestructura proxy de IPIDEA ha sido utilizada por más de 550 grupos de amenazas individuales con diversas motivaciones, como ciberdelincuencia, espionaje, amenazas persistentes avanzadas (APT) y operaciones de información, provenientes de todo el mundo, incluyendo China, Corea del Norte, Irán y Rusia. Estas actividades abarcan desde el acceso a entornos SaaS de las víctimas, infraestructura local y ataques de rociado de contraseñas.

En un análisis publicado a principios de este mes, Synthient reveló que los actores de amenazas detrás de la botnet AISURU/Kimwolf estaban abusando de las fallas de seguridad en servicios proxy residenciales como IPIDEA para retransmitir comandos maliciosos a dispositivos vulnerables del Internet de las Cosas (IoT) tras un firewall dentro de redes locales y propagar el malware.

El malware que convierte los dispositivos de consumo en endpoints proxy se integra sigilosamente en aplicaciones y juegos preinstalados en dispositivos de streaming Android TV de otras marcas. Esto obliga al dispositivo infectado a retransmitir tráfico malicioso y a participar en ataques de denegación de servicio distribuido (DDoS).

Se dice que IPIDEA también ha lanzado aplicaciones independientes, comercializadas directamente a personas que buscan ganar dinero fácil, anunciando abiertamente que pagarán a los consumidores por instalar la aplicación y permitirles usar su ancho de banda no utilizado.

Si bien las redes proxy residenciales ofrecen la posibilidad de enrutar el tráfico a través de direcciones IP propiedad de los proveedores de servicios de internet (ISP), esto también puede ser la tapadera perfecta para los ciberdelincuentes que buscan ocultar el origen de su actividad maliciosa.

"Para ello, los operadores de redes proxy residenciales necesitan código que se ejecute en los dispositivos de consumo para registrarlos en la red como nodos de salida", explicó GTIG. Estos dispositivos vienen preinstalados con software proxy o se conectan a la red proxy cuando los usuarios, sin saberlo, descargan aplicaciones troyanizadas con código proxy integrado. Algunos usuarios pueden instalar este software en sus dispositivos a sabiendas, atraídos por la promesa de monetizar su ancho de banda disponible.

Fuente: THN

Suscríbete a nuestro Boletín