911[.]re, usługa agenta, która od 2015 roku sprzedała dostęp do setek tysięcy Microsoft Windows Computer Daily ogłosił w tym tygodniu, że zamyka się w wyniku naruszenia bezpieczeństwa danych, które zniszczyło kluczowe elementy jego działalności biznesowej. Nagłe zamknięcie następuje dziesięć dni po tym, jak KrebsOnSecurity opublikował dogłębne spojrzenie na 911 i jego powiązania z podejrzanymi programami partnerskimi typu pay-per-install, które potajemnie łączyły programy proxy 911 z innymi adresami, w tym „darmowymi” narzędziami i pirackim oprogramowaniem.
911[.]powtarzać on jest Była to jedna z pierwotnych sieci „domowego proxy”, która pozwalała komuś wynająć domowy adres IP w celu wykorzystania go jako przekaźnika komunikacji internetowej, zapewniając anonimowość i tę zaletę, że jest postrzegany jako użytkownik mieszkający przeglądający sieć.
Mieszkaniowe usługi proxy są często oferowane osobom poszukującym możliwości ominięcia zakazów obowiązujących w danym kraju przez dostawców strumieniowego przesyłania filmów i główne media. Ale niektórzy – jak 911 – budują swoje sieci po części poprzez oferowanie usług „bezpłatnego VPN” lub „bezpłatnego proxy”, które są obsługiwane przez oprogramowanie, które zamienia komputer użytkownika w przekaźnik ruchu dla innych użytkowników. W tym scenariuszu użytkownicy już otrzymują bezpłatną usługę VPN, ale często nie zdają sobie sprawy, że dzięki temu ich komputer zmieni się w serwer proxy, który pozwala innym na używanie ich adresu internetowego do przeprowadzania transakcji online.
Z perspektywy strony internetowej wydaje się, że ruch IP użytkownika domowej sieci proxy pochodzi z wynajmowanego domowego adresu IP, a nie z klienta usługi proxy. Usługi te mogą być legalnie wykorzystywane do kilku celów komercyjnych – takich jak porównywanie cen lub informacje o sprzedaży – ale są powszechnie niewłaściwie wykorzystywane do maskowania działalności cyberprzestępczej, ponieważ mogą utrudniać śledzenie szkodliwego ruchu z powrotem do pierwotnego źródła.
Jak zauważono w Crips on Security z 19 lipca 911 r.Usługa agenta obsługiwała kilka systemów płatności za instalację, które skłaniały podmioty stowarzyszone do potajemnego kojarzenia programu agenta z innymi programami, stale tworząc stały strumień nowych agentów dla usługi.
W ciągu kilku godzin od tej historii, 911 opublikowało powiadomienie na górze swojej strony, mówiąc: „Sprawdzamy naszą sieć i dodajemy szereg środków bezpieczeństwa, aby zapobiec niewłaściwemu korzystaniu z naszych usług. Doładowanie proxy zostało zamknięte, a rejestracja nowego użytkownika została zakończona zamknięte. Sprawdzamy każdego istniejącego użytkownika, aby upewnić się, że jego użycie jest zgodne z prawem i [in] Zgodność z Warunkami świadczenia usług.
W tym ogłoszeniu na kilku forach cyberprzestępczych rozpętało się piekło, a wielu starych klientów 911 zgłosiło, że nie mogą korzystać z usługi. Inni dotknięci awarią powiedzieli, że wygląda na to, że 911 próbowało wdrożyć jakąś zasadę „poznaj swojego klienta” – być może 911 po prostu próbowało wyeliminować klientów, którzy korzystają z usługi w celu przeprowadzenia dużej liczby działań cyberprzestępczych.
Następnie 28 lipca strona internetowa 911 zaczęła przekierowywać do powiadomienia o treści: „Z przykrością informujemy, że 28 lipca na stałe zamknęliśmy 911 i wszystkie jej usługi”.
Według 911, usługa została zhakowana na początku lipca i odkryto, że ktoś manipulował saldami dużej liczby kont użytkowników. 911 powiedział, że hakerzy niewłaściwie wykorzystali interfejs API, który obsługuje przeciążanie kont, gdy użytkownicy deponują pieniądze w usłudze.
Wiadomość z 911 brzmi: „Nie jestem pewien, w jaki sposób haker się dostał”. „Dlatego pilnie zamknęliśmy system ładowania, zarejestrowaliśmy nowego użytkownika i rozpoczęliśmy dochodzenie”.
911 powiedział, że chociaż hakerzy dostali się, byli również w stanie nadpisać krytyczne 911[.]Przywróć serwery, dane i kopie zapasowe tych danych.
W oświadczeniu czytamy dalej: „28 lipca duża liczba użytkowników zgłosiła, że nie jest w stanie zalogować się do systemu”. „Odkryliśmy, że dane na serwerze zostały złośliwie uszkodzone przez hakera, co spowodowało utratę danych i kopii zapasowych. [sic] Potwierdził, że system ładowania również został zhakowany w ten sam sposób. Musieliśmy podjąć tę trudną decyzję ze względu na utratę ważnych danych, która uniemożliwiła odzyskanie usługi”.
Działająca w dużej mierze poza Chinami, 911 była bardzo popularną usługą na wielu forach cyberprzestępczych i stała się czymś w rodzaju infrastruktury krytycznej dla tej społeczności po dwóch długoletnich konkurentach 911 – usługach proxy opartych na złośliwym oprogramowaniu. VIP72 A LuxSocks – W zeszłym roku zamknęli swoje drzwi.
Teraz wiele forów kryminalnych, które polegały na 911 w swoich operacjach, zastanawia się głośno, czy istnieją jakieś alternatywy współmierne do skali i użyteczności oferowanej przez 911. Konsensus wydaje się głośnym „nie”.
Myślę, że wkrótce możemy dowiedzieć się więcej o incydentach związanych z bezpieczeństwem, które spowodowały eksplozję 911. Być może pojawią się inne usługi proxy, aby sprostać rosnącemu obecnie popytowi na takie usługi, przy stosunkowo niewielkiej podaży.
Tymczasem brak 911 może zbiegać się z wymiernym (choć tylko krótkotrwałym) opóźnieniem w niechcianym ruchu do głównych miejsc docelowych w Internecie, w tym banków, sprzedawców detalicznych i platform kryptowalutowych, ponieważ wielu byłych agentów usługi proxy stara się dokonać uzgodnień. .
Riley KilmerWspółtwórca usługi śledzenia proxy SpirosPowiedział, że sieć 911 będzie trudna do zreplikowania w krótkim okresie.
„Zgaduję że [911’s remaining competitors] W krótkim okresie otrzymasz duże wsparcie, ale w końcu pojawi się nowy gracz” – powiedział Kilmer – „Żadna z nich nie jest dobrą alternatywą dla LuxSocks lub 911. Jednak wszystkie pozwolą każdemu z nich korzystać. Jeśli chodzi o stawki oszustwa, próby będą kontynuowane, ale z tymi usługami zastępczymi, które powinny być łatwiejsze do monitorowania i zatrzymania. 911 ma kilka bardzo czystych adresów IP. „