Siber suçluların kötü niyetli trafiğini saldırıya uğramış bilgisayarlar aracılığıyla yönlendirmesine izin veren birkaç popüler “vekil” hizmetinin yakın zamanda sona ermesiyle birlikte, artık İnternet’in altını çeken bir tedarik zinciri krizi var. Geriye kalan birkaç kötü amaçlı yazılım tabanlı proxy hizmeti, ağlarını ani bir müşteri akışına boğmaktan kaçınmak için yeni kayıtları engellemeyi seçti.
Geçen hafta, yedi yıllık bir proxy hizmeti, 911[.]tekrar Bir siber güvenlik ihlali, bilinmeyen davetsiz misafirlerin sunucularını çöpe atmasına ve müşteri verilerini ve yedeklerini silmesine izin verdikten sonra aniden kalıcı olarak kapatıldığını duyurdu. 911, en iyi iki rakibinden sonra siber suçlular topluluğundaki birçok kişi için zaten kritik altyapıya benziyordu — VIP72 ve LüksÇorap — son 10 ay içinde yetkililer tarafından kapatıldı veya kapatıldı.
Yeraltı siber suç forumları, işlerini yeniden başlatmak için umutsuzca bol, ucuz ve güvenilir bir şekilde temiz vekil tedarikçiler arayan insanların beğenileriyle dolup taşıyor. O günlerin artık sona erdiği ve çok sayıda daha küçük proxy hizmeti kalmasına rağmen, bunların çok azının mevcut talebin yakınında herhangi bir yerde absorbe etme yeteneğine sahip olduğu konusunda fikir birliği var gibi görünüyor.
“Herkes bir alternatif arıyor kardeşim” yazdı. BlackHatForumlar kullanıcı, birçok “911 alternatifi” tartışma başlığından birine yanıt olarak 1 Ağustos’ta. “Kimse 911’e eşdeğer bir alternatif bilmiyor[.]tekrar. Diğer proxy sağlayıcılarına kıyasla değer ve erişilebilirlik açısından hizmetleri eşsizdi. Umarım birileri 911’e harika bir alternatifle gelir[.]tekrar.”
YENİ ÇORAP, ESKİ AYAKKABI AYNI
911’e daha sık önerilen alternatifler arasında çorapEskort[.]comen az 2010’dan beri var olan kötü amaçlı yazılım tabanlı bir proxy ağı. Şu anki ana sayfalarının bir kısmı şöyle görünüyor:
SocksEscort ana sayfası, hizmetlerinin Craigslist ve flört dolandırıcılığı, arama motoru sonuçları manipülasyonu ve çevrimiçi anketler gibi genellikle IP adreslerinin engellenmesine veya yasaklanmasına neden olan otomatik çevrimiçi etkinliklerde yer alan kişiler için mükemmel olduğunu söylüyor.
Ancak, 911’in patlamasının ardından bir dizi yeni kayıtla karşı karşıya kalan SocksEscort, kayıt sayfasını şu mesajla değiştirerek, kapılarını yeni kayıt yaptıranlara kapatmayı seçen geriye kalan deneyimli proxy servisleri arasındaydı:
“Sunucularımızdaki olağandışı yüksek talep ve ağır yük nedeniyle, tüm yeni kayıtları engellemek zorunda kaldık. Aksi takdirde vekillerimizi destekleyemeyeceğiz ve sonuç olarak SocksEscort’u kapatamayacağız. Talep düştükten hemen sonra kayıtlara devam edeceğiz. Anlayışınız için teşekkür eder, rahatsızlıktan dolayı özür dileriz.”
Proxy hizmetlerini izleyen bir girişim olan Spur.us’a göre, SocksEscort kötü amaçlı yazılım tabanlı bir proxy teklifidir; bu, SocksEscort müşterileri için trafiğin proxy’sini yapan makinelere, onları bir trafik rölesine dönüştüren kötü amaçlı yazılım bulaştığı anlamına gelir.
Spur, SocksEscort’un proxy hizmetinin Windows bilgisayarlarda çalışmak üzere tasarlanmış yazılıma dayandığını ve şu anda dünya çapında 14.000’den fazla saldırıya uğramış bilgisayara erişim sağladığını söylüyor. Bu, sadece birkaç gün önce kiralık 200.000’den fazla IP adresine sahip olan 911’in reklamını yaptığı proxy envanterinden çok uzak.
Resim: Spur.us
SocksEscort, “SOCKS Proxy” hizmeti olarak bilinir. SOCKS (veya SOCKS5) protokolü, İnternet kullanıcılarının Web trafiğini bir proxy sunucusu aracılığıyla yönlendirmesine ve ardından bilgileri istenen hedefe iletmesine olanak tanır. Bir web sitesinin perspektifinden, proxy ağı müşterisinin trafiği, proxy hizmeti müşterisinden değil, konut ISP müşterisine bağlı kiralanmış/kötü amaçlı yazılım bulaşmış bir bilgisayardan kaynaklanıyor gibi görünmektedir.
Bu hizmetler, fiyat karşılaştırmaları veya satış istihbaratı gibi çeşitli ticari amaçlar için meşru bir şekilde kullanılabilir, ancak kötü niyetli trafiği orijinal kaynağına kadar izlemeyi zorlaştırdıkları için siber suç faaliyetlerini gizlemek için büyük ölçüde kötüye kullanılırlar.
911’deki bozulma[.]KrebsOnSecurity’nin uzun süredir devam eden proxy hizmetine derinlemesine bir bakış yayınlamasından günler sonra geldi; bu, 911’in kullanıcı uyarısı veya onayı olmadan proxy yazılımının kurulumunu teşvik etme geçmişine sahip olduğunu ve aslında bunların bazılarını çalıştırdığını gösterdi. Yeni saldırıya uğramış bilgisayarların sabit bir şekilde tedarik edilmesini garanti etmek için kendi başına “kurulum başına” şemalar.
Bu hikaye aynı zamanda, bu botnet’leri oluşturan ve kiralayan kişilerin, özellikle çok sayıda siber suç faaliyetine olanak tanıyan kötü amaçlı yazılım tabanlı anonimlik hizmetleri işlettikleri göz önüne alındığında, gerçek hayatta tespit edilmelerinin şaşırtıcı derecede kolay olduğunu bir kez daha gösterdi.
SocksEscort’ta da durum böyleydi. Komik bir şekilde, bu SOCKS hizmetini çalıştıran kişilerin gerçek hayattaki kimliklerini ortaya çıkaran ortak bağlantı şuydu: hepsi aynı çevrimiçi ayakkabı mağazası için çalıştı.
KIZGIN KODLAYICILAR
çorapEskort[.]com başlangıçta e-posta adresine kayıtlıydı “[email protected]”, DomainTools.com’a göre, önceki enkarnasyonu da dahil olmak üzere bir avuç ilgili alanı kaydetmek için kullanıldı – süper çoraplar[.]biz. Sitenin önbelleğe alınmış sürümleri, 2010 yılında ağa güç sağlayan yazılımın “ telif hakkı” ile üretildiğini göstermektedir.Eskort Yazılımı”
süper çorap[.]biz, bu “michdomain” e-postasına kayıtlı başka bir alan adıyla aynı anda çevrimiçi oldu: ip puanı[.]comkısa süre sonra birkaç siber suç forumunda ziyaretçilere İnternet adreslerinin – veya daha doğrusu kullandıkları proxy’nin – herhangi bir güvenlik yazılımı veya hizmeti tarafından güvenliği ihlal edilmiş veya kötü amaçlı olarak işaretlenip işaretlenmediğini söyleyebilecek bir hizmet için kısa yol haline geldi.
IP puanı, IP puanlama kodunu yerleştirmeyi seçen web siteleri için bir gelir paylaşım programı sundu ve bu kullanıcı çubuğu programının telif hakkı “kızgın kodlayıcılar”
Super-socks tarafından tarihsel olarak kullanılan İnternet adreslerinin bir incelemesi[.]biz ve SocksEscort[.]com, bu alan adlarının yıllar içinde çeşitli zamanlarda bir İnternet adresini aşağıdakiler de dahil olmak üzere küçük bir başka alan adıyla paylaştığını ortaya koymaktadır. kızgın kodlayıcılar[.]ağ, iskusnyh[.]profesyonelve kc-ayakkabı[.]ru.
Kızgın kodlayıcıların önbelleğe alınmış kopyaları[.]Net, Wayback Machine’den alınan bu belirli öfkeli programcılar grubu hakkında pek bir şey açıklamaz, ancak alan adında bir arama, Rusya’nın Sibirya bölgesindeki büyük bir şehir olan Omsk’ta bulunan bir Angry Coders için şu anda atıl durumda olan birkaç listeyi ortaya çıkarır. Alan adı 2010 yılında bir Oleg İskushnykh e-posta adresini kullanan Omsk’tan [email protected].
Constella Intelligence’a göre [currently an advertiser on KrebsOnSecurity]Oleg, [email protected] hesabındaki aynı şifreyi bir dizi başka “iboss” temalı e-posta adresi için kullandı; Nur-Sultan, Kazakistan.
Iskusnyh’in Github profili, Ingenico ePayments, Swedbank WooCommerce, Mondido Payments ve Reepay dahil olmak üzere bir dizi çevrimiçi ödeme ile ilgili teknoloji ve hizmete kod katkıda bulunduğunu gösteriyor.
BİR ERKEĞİ ÇORAPLARINDA BİR MİL YÜRÜMEDEN KADAR YARGILAMAYIN
Çeşitli “iboss” e-posta hesaplarının birden fazla tarafça paylaşıldığı görülüyor. Constella’nın “[email protected]” adresindeki ihlal edilen varlıklar veritabanında yapılan bir arama, Oleg Iskusnyh adını kullanan birinin Bronx, New York’ta bir telefon numarası kullanarak çevrimiçi bir profil kaydettiğini ortaya çıkardı. Bu telefon numarasına göre döndürme — 17187154415 – e-posta adresini kullanan ilk adı “Dmitry” olan satış istihbarat firması Apollo’daki ihlalde açığa çıkan bir profili ortaya çıkardı [email protected].
Bu e-posta, bir LinkedIn profiline bağlı Dmitry Chepurko Pavlodar, Kazakistan’da. Chepurko’nun özgeçmişinde, en son bir Alman ayakkabı firmasının Omsk ofislerinde çalışan tam bir yığın geliştiricisi olduğu yazıyor. KC Ayakkabı (yukarıda bahsedilen kc-shoes.ru]Chepurko’nun özgeçmişinde daha önce on yıl boyunca serbest çalışma platformunu kullanarak kendi başına çalıştığını söylüyor. Çalışmak.
Chepurko’nun LinkedIn CV’sinde listelenen Upwork profili artık aktif değil. Ancak şu anda feshedilmiş olan Upwork hesap bağlantısı hala bir “Dmitry C” profili olarak listeleniyor. Omsk, Rusya’daki Angry Coders ekibi için bir UpWork profil sayfasında.
Omsk, RU’dan Angry Coders programlama ekibi için UpWork profil sayfası.
Kim “İskender S” Angry Coders için Upwork profilindeki “Ajans üyeleri” başlığı altında yukarıda listelenmiştir? Farsight Security’den gelen geçmiş DNS kayıtları, daha önce kızgıncoders.net’in “smollalex.angrycoders” alt alanını içerdiğini gösteriyor.[.]ağ”.
“Kc-shoes” ile ilgili basit bir İnternet araması, Omsk’tan Alexander adında ve hesap adı “Smollalex” olan bir kullanıcının Github hesabını ortaya çıkarır. Alexander’ın Github hesabı, kc-shoes web sitesine de kod katkıda bulunduğunu gösteriyor.
Constella’nın hizmeti, “Smollalex”in bir kişi tarafından seçilen favori bir sap olduğunu gösteriyor. Alexander Smolyaninov Omsk’tan. Smollalex Github hesabı, bu kişiyi Omsk’ta petrol ve gaz boru hatları için parça satan bir şirketle ilişkilendiriyor.
Görünüşe göre bu ayakkabıların SocksEscort’tan sorumlu Kızgın Kodlayıcılar arasındaki ortak bağlantı iki kat eğlenceli çünkü – en azından bazı siber suç forumlarındaki gönderilere göre – insanların bu proxy hizmetlerine yönelmelerinin en büyük nedenlerinden biri “ayakkabı botları” veya “spor ayakkabı botları”. Bu, sınırlı sayıda piyasaya sürülen, çok aranan tasarımcı spor ayakkabılarının hızlı bir şekilde edinilmesine yardımcı olan ve daha sonra ikincil pazarlarda büyük indirimlerle yeniden satılabilen otomatik bot programlarının ve hizmetlerinin kullanımını ifade eder.
Angry Coders ekip üyelerinin SocksEscort’a bağlı kalıp kalmayacağı belli değil; hiçbiri yorum taleplerine cevap vermedi. Yukarıda bahsedilen araştırma boyunca, Angry Coder’ların proxy hizmetlerinin tanıtım ve desteğinin çoğunu, görünüşe göre müşterilerinin büyük bir bölümünün şu anda ikamet ettiği Hindistan ve Endonezya’da yerleşik programcılara dış kaynak sağladığına dair bazı bağlantılar vardı.
Daha fazla okuma:
29 Temmuz 2022: 911 Proxy Hizmeti, İhlal Açıklandıktan Sonra Patladı
28 Temmuz 2022: İhlal, Microleaves Proxy Hizmeti Kullanıcılarını Ortaya Çıkardı
18 Temmuz 2022: Konut Vekil Hizmeti ‘911’e Derin Bir Bakış
28 Haziran 2022: AWM Proxy ile Glupteba Botnet Arasındaki Bağlantı
22 Haziran 2022: RSOCKS Proxy Botnet Yöneticileriyle Tanışın
1 Eylül 2021: 15 Yaşındaki Kötü Amaçlı Yazılım Proxy Ağı VIP72 Kararıyor