Прокси услугата 911 се разпада след разкриване на пробив – Кребс за сигурността

Услугата 911, както съществуваше до 28 юли 2022 г.

911[.]re, прокси услуга, която от 2015 г. е продала достъп до стотици хиляди Microsoft Windows computers daily, обяви тази седмица, че се затваря в резултат на нарушение на данните, което унищожи ключови компоненти от неговите бизнес операции. Внезапното затваряне идва десет дни след като KrebsOnSecurity публикува задълбочен поглед върху 911 и връзките му със сенчести партньорски програми с плащане на инсталиране, които тайно обединяват прокси софтуера на 911 с други заглавия, включително „безплатни“ помощни програми и пиратски софтуер.

911[.]повторно е беше една от първоначалните мрежи за „домашен прокси“, която позволява на някой да наеме домашен IP адрес, който да използва като реле за своите интернет комуникации, осигурявайки анонимност и предимството да бъде възприеман като местен потребител, който сърфира в мрежата.

Жилищните прокси услуги често се продават на хора, които търсят способността да избегнат специфичното за страната блокиране от основните доставчици на филми и медии. Но някои от тях – като 911 – изграждат мрежите си отчасти, като предлагат „безплатни VPN“ или „безплатни прокси“ услуги, които се захранват от софтуер, който превръща компютъра на потребителя в реле за трафик за други потребители. При този сценарий потребителите наистина могат да използват безплатна VPN услуга, но често не знаят, че това ще превърне компютъра им в прокси, което позволява на другите да използват техния интернет адрес за транзакции онлайн.

От гледна точка на уебсайт, IP трафикът на местен потребител на прокси мрежа изглежда произхожда от наетия жилищен IP адрес, а не от клиента на прокси услугата. Тези услуги могат да се използват по легитимен начин за няколко бизнес цели – като сравняване на цените или разузнаване на продажбите – но те масово се злоупотребяват за укриване на киберпрестъпна дейност, тъй като могат да затруднят проследяването на злонамерен трафик до първоначалния му източник.

Както е отбелязано в Историята на KrebsOnSecurity от 19 юли на 911прокси услугата управляваше множество схеми за плащане на инсталиране, които плащаха на филиали тайно да обвържат прокси софтуера с друг софтуер, като непрекъснато генерираха постоянен поток от нови проксита за услугата.

Кеширано копие на флаш актуализация[.]net около 2016 г., което показва, че това е била началната страница на партньорска програма с плащане на инсталиране, която е стимулирала безшумната инсталация на прокси софтуера на 911.

Часове след тази история 911 публикува известие в горната част на своя сайт, в което се казва: „Ние преглеждаме нашата мрежа и добавяме серия от мерки за сигурност, за да предотвратим злоупотребата с нашите услуги. Допълването на баланса на прокси и регистрацията на нов потребител са затворени. Ние преглеждаме всеки съществуващ потребител, за да гарантираме, че използването му е законно и [in] спазване на нашите Общи условия.“

При това съобщение избухна адът в различни форуми за киберпрестъпления, където много дългогодишни клиенти на 911 съобщиха, че не могат да използват услугата. Други, засегнати от прекъсването, казаха, че изглежда 911 се опитва да приложи някакви правила за „познаване на клиента“ – че може би 911 просто се опитва да отсее онези клиенти, които използват услугата за големи обеми киберпрестъпна дейност.

След това на 28 юли уебсайтът на 911 започна да пренасочва към известие, което гласи: „Съжаляваме да ви информираме, че окончателно затворихме 911 и всичките му услуги на 28 юли.“

Според 911 услугата е била хакната в началото на юли и е установено, че някой е манипулирал балансите на голям брой потребителски акаунти. 911 каза, че нарушителите са злоупотребили с интерфейс за приложно програмиране (API), който управлява допълването на сметки, когато потребителите правят финансови депозити с услугата.

„Не съм сигурен как хакерът е влязъл“, гласи съобщението на 911. „Следователно ние спешно затворихме системата за презареждане, регистрирахме нови потребители и започнахме разследване.“

Прощалното съобщение от 911 до потребителите, публикувано на началната страница на 28 юли 2022 г.

Въпреки това нарушителите са влезли, 911 каза, че са успели да презапишат и критичния 911[.]сървъри, данни и архивиране на тези данни.

„На 28 юли голям брой потребители съобщиха, че не могат да влязат в системата“, продължава изявлението. „Открихме, че данните на сървъра са били злонамерено повредени от хакера, което е довело до загуба на данни и резервни копия. Това е [sic] потвърди, че системата за презареждане също е била хакната по същия начин. Бяхме принудени да вземем това трудно решение поради загубата на важни данни, което направи услугата невъзстановима.”

Оперирана до голяма степен извън Китай, 911 беше изключително популярна услуга в много форуми за киберпрестъпления и се превърна в нещо подобно на критична инфраструктура за тази общност след двама от дългогодишните конкуренти на 911 – базирани на зловреден софтуер прокси услуги VIP72 и LuxSocksзатвориха врати миналата година.

Сега мнозина от криминалните форуми, които разчитат на 911 за своите операции, се чудят на глас дали има някакви алтернативи, които отговарят на мащаба и полезността, които 911 предлага. Консенсусът изглежда е категорично „не“.

Предполагам, че скоро може да научим повече за инцидентите със сигурността, довели до експлозията на 911. И може би други прокси услуги ще се появят, за да отговорят на това, което изглежда нарастващото търсене на такива услуги в момента, със сравнително малко предлагане.

Междувременно отсъствието на 911 може да съвпадне с измеримо (макар и краткотрайно) отлагане на нежелан трафик към водещи интернет дестинации, включително банки, търговци на дребно и платформи за криптовалута, тъй като много бивши клиенти на прокси услугата се опитват да направят алтернативни договорености.

Райли Килмърсъосновател на услугата за проследяване на прокси Spur.usказа, че мрежата на 911 ще бъде трудна за копиране в краткосрочен план.

„Моето предположение е [911’s remaining competitors] ще получат голям тласък в краткосрочен план, но в крайна сметка ще се появи нов играч“, каза Килмър. „Нито един от тях не е добър заместител на LuxSocks или 911. Въпреки това всички те ще позволят на всеки да ги използва. Що се отнася до нивата на измами, опитите ще продължат, но чрез тези заместващи услуги, които трябва да бъдат по-лесни за наблюдение и спиране. 911 имаше някои много чисти IP адреси.