Siber Suçlular Kötü Amaçlı Web Trafiğini Göz Önünde Bulunduruyor
Yıllardır, "kurşun geçirmez" ana bilgisayarlar olarak bilinen gri pazar hizmetleri, hiçbir soru sorulmadan web altyapısını anonim olarak sürdürmek isteyen siber suçlular için önemli bir araç olmuştur. Ancak küresel kolluk kuvvetleri dijital tehditlere karşı mücadele ederken , bu ana bilgisayarlardan müşteri bilgilerini almak için stratejiler geliştirdiler ve giderek daha fazla sayıda kişiyi iddianamelerle hedef aldılar. Bugün Virginia, Arlington'da siber suç odaklı Sleuthcon konferansında araştırmacı Thibault Seret, bu değişimin hem kurşun geçirmez barındırma şirketlerini hem de suçlu müşterileri alternatif bir yaklaşıma nasıl ittiğini özetledi.
Bazı servis sağlayıcılar, kolluk kuvvetlerinin erişiminin dışında faaliyet göstermenin yollarını bulmak için web barındırıcılarına güvenmek yerine, müşteri IP adreslerini döndürme ve maskeleme ve kasıtlı olarak trafiği kaydetmeyen veya birçok kaynaktan gelen trafiği bir araya getiren bir altyapı sunmanın bir yolu olarak özel olarak oluşturulmuş VPN'ler ve diğer proxy hizmetleri sunmaya yöneldi. Ve teknoloji yeni olmasa da, Seret ve diğer araştırmacılar, WIRED'a siber suçlular arasında proxy kullanımına geçişin son birkaç yıldır önemli olduğunu vurguladı.
Tehdit istihbaratı firması Team Cymru'da araştırmacı olan Seret, konuşmasından önce WIRED'a "Sorun şu ki, bir düğümdeki hangi trafiğin kötü, hangi trafiğin iyi olduğunu teknik olarak ayırt edemezsiniz," dedi. "Bir proxy hizmetinin sihri budur; kimin kim olduğunu söyleyemezsiniz. İnternet özgürlüğü açısından iyidir, ancak ne olduğunu analiz etmek ve kötü aktiviteyi belirlemek çok, çok zordur."
Proxy'ler tarafından gizlenen siber suç faaliyetlerini ele almanın temel zorluğu, hizmetlerin aynı zamanda, hatta öncelikli olarak, meşru, iyi huylu trafiği kolaylaştırıyor olabilmesidir. Suçlular ve onları müşteri olarak kaybetmek istemeyen şirketler, özellikle tüketici cihazlarında (eski Android telefonlar veya düşük kaliteli dizüstü bilgisayarlar bile) çalışabilen ve evlere ve ofislere atanan gerçek, dönen IP adresleri sunan , merkezi olmayan düğümlerden oluşan bir dizi olan "konut proxy'leri" olarak bilinenlere yaslanmaktadır. Bu tür hizmetler anonimlik ve gizlilik sunar, ancak kötü amaçlı trafiği de koruyabilir.
Kötü niyetli trafiği güvenilir tüketici IP adreslerinden geliyormuş gibi göstererek saldırganlar, kuruluşların tarayıcılarının ve diğer tehdit tespit araçlarının şüpheli aktiviteleri tespit etmesini çok daha zor hale getirir. Ve en önemlisi, farklı tüketici donanımlarında çalışan konut proxy'leri ve diğer merkezi olmayan platformlar bir hizmet sağlayıcının içgörüsünü ve kontrolünü azaltarak kolluk kuvvetlerinin onlardan faydalı bir şey elde etmesini daha da zorlaştırır.
Uzun yıllardır dijital dolandırıcılık araştırmacısı ve kâr amacı gütmeyen Intelligence for Good'un kurucu ortağı olan Ronnie Tokazowski, "Saldırganlar son iki üç yıldır saldırılar için konut ağlarını daha fazla kullanıyorlar," diyor. "Saldırganlar, örneğin hedef bir organizasyonun çalışanlarıyla aynı konut aralıklarından geliyorsa, takip edilmesi daha zordur."
Proxy'lerin suç amaçlı kullanımı yeni bir şey değil. Örneğin 2016'da ABD Adalet Bakanlığı, kötü şöhretli "Avalanche" siber suç platformunun yıllardır süren soruşturmasındaki engellerden birinin, hizmetin sürekli değişen proxy IP adreslerini kullanarak platformun kötü amaçlı etkinliğini gizleyen "hızlı akış" barındırma yöntemini kullanması olduğunu söyledi. Ancak proxy'lerin saldırganların şirket içinde geliştirmesi gereken bir şey olmaktan ziyade gri pazar hizmeti olarak yükselişi önemli bir değişimdir.
Team Cymru'dan Seret, WIRED'a "Proxy sorununu nasıl iyileştirebileceğimizi henüz bilmiyorum," dedi. "Sanırım kolluk kuvvetleri, kurşun geçirmez ana bilgisayarlarda yaptıkları gibi bilinen kötü amaçlı proxy sağlayıcılarını hedef alabilir. Ancak genel olarak, proxy'ler herkes tarafından kullanılan bütün internet hizmetleridir. Kötü amaçlı bir hizmeti devre dışı bıraksanız bile, bu daha büyük zorluğu çözmez."
wired
