Yıllarca, gri “Kurşun geçirmez” ana bilgisayarlar olarak bilinen pazar hizmetleri, soru sorulmadan web altyapısını anonim olarak korumak isteyen siber suçlular için önemli bir araç olmuştur. Ancak küresel kolluk kuvvetleri dijital tehditleri yıkmak için uğraştıkça, bu ev sahiplerinden müşteri bilgileri almak için stratejiler geliştirdiler ve hizmetlerin arkasındaki insanları iddianamelerle giderek daha fazla hedeflediler. Bugün Arlington’daki siber suçlu konferansında Sleuthcon, araştırmacı Thibault Seret, bu değişimin hem kurşun geçirmez hosting şirketlerini hem de suçlu müşterileri alternatif bir yaklaşıma nasıl ittiğini özetledi.
Bazı servis sağlayıcılar, bazı servis sağlayıcılar, müşteri IP adreslerini döndürmenin ve maskelemenin ve kasıtlı olarak trafiği kaydetmeyen veya birçok kaynaktan trafiği karıştırmayan altyapı sunma yolu olarak amaca uygun VPN’ler ve diğer proxy hizmetlerini sunmaya yöneltiler. Teknoloji yeni olmasa da, Seret ve diğer araştırmacılar kablolu olarak son birkaç yıldır sibercrinals arasında proxy kullanmaya geçişin önemli olduğunu vurguladılar.
Tehdit istihbarat firması Team Cymru’dan bir araştırmacı olan Seret, konuşmasının önünde Wired’e verdiği demeçte, “Sorun, bir düğümdeki trafiğin hangi trafiğin kötü olduğunu ve hangi trafiğin iyi olduğunu ayırt edemezsiniz” dedi. “Bu bir proxy hizmetinin büyüsü – kimin kim olduğunu söyleyemezsiniz. İnternet özgürlüğü açısından iyi, ancak neler olduğunu analiz etmek ve kötü aktiviteyi tanımlamak süper, çok zor.”
Proxy’ler tarafından gizlenen siber suç faaliyetlerini ele almanın temel zorluğu, hizmetlerin de öncelikle meşru, iyi huylu trafiği kolaylaştırabileceğidir. Müşteriler olarak onları kaybetmek istemeyen suçlular ve şirketler, özellikle “konut vekilleri” olarak bilinenlere ya da tüketici cihazlarında (hatta eski Android telefonlarda veya düşük uç dizüstü bilgisayarlarda çalışabilen bir dizi merkezi olmayan düğüm üzerine eğiliyorlar. Bu tür hizmetler anonimlik ve gizlilik sunar, ancak kötü amaçlı trafiği koruyabilir.
Saldırganlar, kötü niyetli trafiği güvenilir tüketici IP adreslerinden geliyormuş gibi göstererek, kuruluşların tarayıcılarının ve diğer tehdit algılama araçlarının şüpheli faaliyetleri tespit etmesini çok daha zor hale getirir. Ve çok önemli bir şekilde, konut vekilleri ve farklı tüketici donanımı üzerinde çalışan diğer merkezi olmayan platformlar, bir servis sağlayıcısının anlayışını ve kontrolünü azaltarak kolluk kuvvetlerinin onlardan yararlı bir şey almasını zorlaştırıyor.
Uzun zamandır dijital dolandırıcılık araştırmacısı ve kar amacı gütmeyen zeka for Good’un kurucu ortağı Ronnie Tokazowski, “Saldırganlar, son iki ila üç yıl boyunca saldırılar için konut ağları kullanımını artırıyorlar” diyor. “Saldırganlar, bir hedef kuruluşun çalışanlarıyla aynı konut aralıklarından geliyorsa, izlemek daha zordur.”
Proxy’lerin cezai kullanımı yeni değil. Örneğin 2016 yılında ABD Adalet Bakanlığı, kötü şöhretli “çığ” siber suç platformunun yıllarca süren bir soruşturmasında engellerden birinin, hizmetin sürekli değişen proxy IP adreslerini kullanarak platformun kötü niyetli etkinliğini gizleyen bir “hızlı akış” barındırma yöntemi kullanması olduğunu söyledi. Ancak, saldırganların şirket içi geliştirmesi gereken bir şeyden ziyade gri bir pazar hizmeti olarak vekillerin yükselişi önemli bir değişimdir.
Cymru Team’in Seret’i Wired’e “Proxy sorununu nasıl geliştirebileceğimizi henüz bilmiyorum” dedi. “Sanırım kolluk kuvvetleri kurşun geçirmez ana bilgisayarlarla olduğu gibi bilinen kötü niyetli proxy sağlayıcıları hedefleyebilir. Ancak genel olarak, vekiller herkes tarafından kullanılan tüm internet hizmetleridir. Bir kötü amaçlı hizmeti devralsanız bile, bu daha büyük zorluğu çözmez.”