Sjedinjene Američke Države su uvele sankcije mreži cyber kriminala odgovornoj za upravljanje masivnim rezidencijalnim proxy bothnet servisom za borbu protiv cyber kriminala.
Ova mreža, 911.re, umiješana je u razne nezakonite aktivnosti. Koristi rezidencijalne IP adrese kako bi anonimizirao zlonamjerni promet i izbjegao otkrivanje.
Mreža 911.re
Usluga 911.re, platforma Residential Proxies As A Service (RPAAS), operativna je od početka 2018.
Prema izvještajima U.S. DEPARTMENT OF THE TREASURY , omogućava korisnicima da iznajmljuju rezidenciju IP adrese, čineći da njihov internet promet izgleda kao da potiče od legitimnih rezidencijalnih korisnika.
Iako se takve usluge mogu koristiti u legitimne svrhe kao što su istraživanja tržišta i SEO, oni također pružaju pokriće za kriminalne aktivnosti, što otežava praćenje zlonamjernog prometa do njegovog izvora.
Karakteristike proizvoda web stranice 911.re
Sveobuhvatni istraživački projekat, započet u januaru 2021. godine, otkrio je opširnu infrastrukturu mreže 911.re.
Istraživanje je otkrilo da 911. radi bez provjere ili verifikacije, dozvoljavajući svakome da iznajmi rezidencijalne čvorove.
Mreža se sastoji od preko 120.000 rezidencijalnih proxy čvorova distribuiranih širom svijeta, sa značajnom koncentracijom u Sjedinjenim Državama, Južnoj Koreji, Peruu i Japanu.
Mreža 911.re regrutuje rezidencijalne čvorove kroz dvije besplatne VPN usluge, Mask VPN i Dew VPN.
Dew VPN binarni certifikat izdat: Grand Media Ltd
Ove aplikacije, koje izgledaju kao legitimne, instaliraju softver na računare korisnika koji ih povezuje na 911.re mrežu bez njihovog informiranog pristanka.
Zaraženi čvorovi održavaju trajnu TCP vezu sa serverima za naredbu i kontrolu (C2) , čineći ih dostupnim za korištenje od strane 911.re klijenata.
Evidencija o osnivanju za Grand Media Limited (UK)
Istraživanje je istaklo nekoliko ranjivosti i potencijalnih eksploatacija povezanih s mrežom 911.re.
To uključuje:
- Iskorišćavanje usluga zasnovanih na IP filtriranju : 911. ponovni korisnici mogu pristupiti korisničkim uslugama ISP-a i potencijalno dobiti povjerljive informacije maskirajući se kao rezidencijalni vlasnik proxyja.
- Napadi bočnim kretanjem : Infekcija omogućava korisnicima 911.re pristup zajedničkim resursima na lokalnoj mreži i ispitivanje LAN mreže zaraženog čvora.
- Trovanje kešom DNS rutera : Napadači mogu otrovati DNS keš memoriju LAN rutera, omogućavajući dalje napade.
Rad mreže 911.re izaziva značajne pravne i etičke probleme.
Vlasnici rezidencijalnih čvorova, često nesvjesni svog učešća, mogli bi se suočiti s krivičnom ili građanskom odgovornošću ako se njihovi računari koriste za zlonamjerne aktivnosti.
Nedostatak informiranog pristanka i mogućnost ozbiljnih pravnih posljedica naglašavaju potrebu za strožim propisima i nadzorom takvih usluga.
Proxygate interface
Kao odgovor na ove nalaze, američka vlada je uvela sankcije entitetima koji stoje iza mreže 911.re.
Sankcije su usmjerene na shell korporacije International Media Ltd i Grand Media Ltd, koje se koriste za potpisivanje binarnih datoteka za Mask VPN i Dew VPN.
Ove mjere imaju za cilj ometanje rada mreže 911.re i pozivanje njenih operatera na odgovornost za njihovu ulogu u omogućavanju cyber kriminala.
Otkrivanje mreže 911.re naglašava rastuću prijetnju rezidencijalnih proxy botneta u okruženju cyber kriminala .
Sankcije SAD predstavljaju ključni korak u borbi protiv ove prijetnje i zaštiti pojedinaca i organizacija od rizika povezanih s takvim uslugama.
Dalja istraživanja i međunarodna saradnja su od suštinskog značaja za rješavanje punog obima mreže i sprečavanje budućih sličnih pretnji.
Indicators of compromise (IOCs)
Binarne datoteke
- Maskvpn.exe (2/68 virus total)
MD5: a220528f31dceddc955b791b13ac4989 SHA-1:
57a83b83a11b6e27c9e88a7835d8a84744d79bdd SHA-256:
e801fa187027537337d8b4e4bde3a7da95499172f6b1477830a216d0a385518b
- Dewvpn.exe (1/67 virus total)
MD5: 12059484a8951a8356c60c46f659a35e SHA1:
3916aeaa61a6e97d6c1746b18c05fd77584de5d8 SHA256:
daa21c58a1ace38d1eebcda6fef3502fa3492ccf09fbccfa6ce103c9222d9afc
·maskvpn-setup.exe (2/68 virus total)
MD5: f9634d85ca0138cfddfe6e58fa1c6160 SHA1
5ffa0b96b7257d804beddb87b0a21e871a1296b4 SHA256:
1013eb0e3dbbc16c8b6d0659cca46a084e767b2d9bb8e498e07016bfdb978780
·mask_svc.exe (1/67 virus total)
MD5: c6b1934d3e588271f27a38bfeed42abb
SHA1:08072ecb9042e6f7383d118c78d45b42a418864f
SHA256: 35ec7f4d10493f28d582440719e6f622d9a2a102e40a0bc7c4924a3635a7f5a8
DewVPN-Setup.exe (1/67 virus total)
MD5: 8e8b072c93246808a7f24554ca593c59
SHA1: d06418cacd11e25af37a41724d55dffc24d6fe5b
SHA256: f422a38d72785c402948c94ae81336383a9fd48167272f29cdc434ce7e51e02b
dew_svc.exe (0/69 virus total)
MD5: 5feb35a7186a5be50b7aa158866b8aa3
SHA1:c0c7e272f3e48d8dfe559aa5f63ad3a46c76fb9e
SHA256: a8e72d202f9a83e6bdfd03a822fae6d4ee2d4b35a6f73a06e9d59e2e49b3070a
DNS upiti:
- vpn[.]maskvpn[.]org
- user[.]maskvpn[.]org
- net[.]dewvpn[.]com
- wan[.]dewvpn[.]net
- connect[.]dewvpn[.]cc
IPv4:
98.126.176.51
- 98.126.176.52
- 98.126.176.53
- 67.198.169.2
- 98.126.244.26
- 98.126.13.146
- 174.139.80.66
- 67.229.60.114
- 174.139.78.106
- 98.126.1.130
- 174.139.100.202
- 67.198.134.186
- 98.126.5.106
Odlazni TCP portovi koje koriste Mask VPN i Dew VPN za pokretanje trajne
- 441 TCP
- 430 TCP
- 433 TCP
- 434 TCP
- 436 TCP
- 440 TCP
- 439 TCP
- 435 TCP
- 428 TCP
- 432 TCP
- 438 TCP
Izvor:CyberSecurityNews