Ботнети та бекдори: безкоштовний троянський кінь VPN

Ви мало знаєте про Інтернет і ще менше про злочинність. І раптом на вас раптово обрушується гора цифрової криміналістики та кібербезпеки. Поліція конфісковує ваші пристрої та перевіряє кожен дюйм вашого цифрового життя. Ваш комп’ютер і його унікальна IP-адреса, нарешті кажуть вам органи влади, відповідальні за п’ятизначне шахрайство. А може, кажуть, що ви зробили щось ще більш незрозуміле. У будь-якому випадку, вам доведеться подолати юридичне пекло, щоб спробувати очистити своє ім’я від злочину, який ви, ймовірно, навіть не розумієте. Цей кошмар може бути надто реальним для багатьох користувачів Інтернету.

Буквально кілька тижнів тому міжнародна операція під керівництвом Міністерства юстиції США знищила масштабну глобальну ботнет під назвою 911 S5 . Протягом десятиліття те, що Міністерство юстиції називає «імовірно найбільшим у світі ботнетом», проникло на 19 мільйонів унікальних IP-адрес у майже 200 країнах. Потім доступ до скомпрометованих пристроїв продавався злочинцям для здійснення кібератак, крадіжок, шахрайства та маскування незаконної діяльності за IP-адресами нічого не підозрюючих користувачів.

Ключовим моментом у цій історії є те, що ботнет використовував бекдори, створені для шести безкоштовних програм віртуальної приватної мережі (VPN) , які, окрім того, що були функціонуючими VPN, також були шкідливими програмами. Після арешту ймовірного ботмайстра Федеральне бюро розслідувань (ФБР) опублікувало публічне оголошення (PSA), у якому попереджало користувачів про необхідність видалити VPN і перевірити свої системи на наявність файлів шкідливого програмного забезпечення, які відкрили ворота їхніх систем для злочинної експлуатації.

У перших частинах Nym Dispatch ми зосередимося на ризиках використання «безкоштовних» послуг VPN. Як ми досліджуватимемо в цій серії, багато безкоштовних VPN можуть становити реальну загрозу конфіденційності та безпеці користувачів, і вони майже завжди містять інвазивні практики, такі як цільова реклама. Це повна протилежність основній причині, чому користувачі звертаються до VPN: справжня конфіденційність, безпека та анонімність в Інтернеті. Ботнет 911 S5 має стати тривожним дзвінком, але проблема набагато глибша.

ProxyGate 2024: багатомільярдний троянський кінь

Ботнет — це мережа скомпрометованих пристроїв, якими може дистанційно керувати центральна організація . Після проникнення пристрої можуть використовуватися для виконання зловмисних дій за спинами своїх операторів, таких як DDoS-атаки, розповсюдження спаму, шахрайства або розповсюдження експлуатаційних матеріалів, таких як дитяча порнографія.

Завдяки локальній проксі-мережі 911 S5, яка працює на 150 серверах по всьому світу, ботмайстер продав доступ до десятків мільйонів IP-адрес через віртуальний ринок. Потім покупці використовували ці IP-адреси для здійснення широкого спектру незаконних дій, особливо шахрайства в рамках програми допомоги пандемії уряду США на мільярди доларів через фальшиві заяви заявників.

Як взагалі була можлива операція такого масштабу? Відповідно до ухвали суду Міністерства юстиції від 10 травня 2024 року, підозрюваний встановлював бекдор-доступ до пристроїв користувачів, головним чином пропонуючи власне «програмне забезпечення VPN для безкоштовного онлайнування» та приховуючи «зловмисні властивості від тих користувачів, які навмисно завантажували те, що вони вважали законна програма VPN». Зловмисне програмне забезпечення також поширювалося через торрент-програми та «послуги з оплатою за встановлення», в яких цифрові розповсюджувачі отримують платню щоразу, коли програму зі зловмисним програмним забезпеченням успішно встановлюють на пристрої користувача.

Торговий майданчик 911 S5 нібито було ліквідовано слідчими у 2022 році, а потім знову з’явилося як «Cloudrouter» у 2023 році. Однак зловмисне програмне забезпечення продовжувало працювати в системах користувачів без будь-якого подальшого втручання, доки ФБР під влучною назвою «Операція «Тунельний щур» нарешті не була ліквідована. домени VPN і оприлюднив назви програм VPN.

На момент свого арешту 24 травня 2024 року ймовірний бот-майстер, за оцінками уряду, лише отримав 99 мільйонів доларів прибутку від продажу IP-доступу. Дивовижні 5,9 мільярда доларів США були викрадені завдяки програмам допомоги уряду США у зв’язку з пандемією та безробіттям. Про втрати, біль і плутанину, яких зазнали мільйони несвідомих людей у ​​всьому світі, ще не було почуто.

Безкоштовний бекдор VPN

Вважається, що шість VPN і проксі-сервісів відповідальні за створення бекдорів для зараження зловмисним програмним забезпеченням у ботнеті 911 S5:

• maskVPN
• DewVPN
• PaladinVPN
• ProxyGate
• ShieldVPN
• ShineVPN

Що саме ми знаємо про них? Як і очікувалося, напрочуд мало. З обвинувачення чітко зазначено, що ці служби VPN були розроблені спеціально для створення ботнету. Зловмисне програмне забезпечення залишалося активним у фоновому режимі систем користувачів у вигляді нешкідливих операційних файлів .exe, таких як «MaskVPN.exe», які користувачі, ймовірно, припускали, що захищають їх. У будь-якому випадку відсутність інформації про ці мережі VPN, які завантажують мільйони користувачів, є яскравою ознакою того, наскільки нерегульованою та неперевіреною є галузь безкоштовних VPN.

Вищезазначені VPN-сервіси, які підтримували фактичні домени, були конфісковані ФБР, включаючи PaladinVPN.com, DewVPN.com і ShineVPN.com. Фіктивний домен для MaskVPN залишається активним як maskvpns.com , обіцяючи, що ви, щасливі користувачі, можете «захистити та захищати від витоку [sic], щоб захистити свою конфіденційність».

Знімок екранe сторінки paladinvpn.com 10 червня 2024 року.

На момент публікації багато програм, що носять назви вищезгаданих служб, все ще доступні для завантаження з Google Play, Apple та інших магазинів додатків, таких як ShieldVPN , ShineVPN і MaskVPN , а деякі, наприклад Shine VPN, перераховують більше 500 тисяч завантажень у Google. грати ​Однак Nym не підтвердив, чи насправді ці програми відповідають тим, що перераховані в ухвалі суду, чи точніше іншим одноіменним постачальникам. Проксі -сервер ProxyGate , який фірми та форуми, що повідомляють про безпеку, давно позначали як зловмисну ​​діяльність, також, здається, усе ще можна завантажити як ProxyGate VPN , хоча незрозуміло, чи відповідає ця програма ботнету 911 S5.

Нам доведеться почекати, щоб дізнатися більше про роботу цих конкретних служб VPN, які платформи їх розповсюджували та скільки саме користувачів завантажувало їх протягом багатьох років. Але тим часом ми маємо задати собі важливі питання:

• Як функції шкідливого програмного забезпечення цих VPN залишалися непоміченими стільки років?
• Які інші таємні функції зараз використовують інші безкоштовні програми VPN на ринку?
• Скільки порушень конфіденційності та ризиків безпеки ми готові прийняти, щоб заощаджувати кілька доларів щомісяця, якщо ми можемо інвестувати в справжній інструмент конфіденційності?

Ризики безкоштовних VPN

За оцінками , більше однієї п’ятої людей у ​​всьому світі використовують VPN, і ця половина використовує безкоштовну версію, а не платну. Що це означає для конфіденційності 600 мільйонів користувачів VPN у всьому світі?

В принципі, нічого поганого в «безкоштовному» сервісі немає. Насправді є надійні постачальники послуг VPN, які пропонують VPN із збереженням конфіденційності безкоштовно та як суспільне благо. Але переважаючі бізнес-моделі для сотень безкоштовних VPN, доступних для завантаження, зовсім не альтруїстичні: якщо немає прибутку від підписок користувачів, то вони, безумовно, заробляють гроші іншими способами.

Як ми побачимо в поточній серії Nym, цей прихований дохід походить від кількох тактик: цільової та вставленої реклами, продажу даних користувачів брокерам і навіть дозволу третім особам встановлювати файли cookie у браузерах користувачів для відстеження їхньої діяльності. Коротше кажучи, безкоштовні VPN продають конфіденційність, але вони отримують прибуток від стеження. І об’єктом цього стеження є не злочини, а мікроподробиці нашого особистого життя.

Проте безкоштовні VPN, що стоять за ботнетом 911 S3, демонструють набагато більший ризик безпеки: викрадення наших пристроїв і ідентифікаційних даних злочинним світом. Звичайно, ці шкідливі VPN-сервіси були лише кількома із сотень «безкоштовних» VPN, доступних для завантаження, і, ймовірно, вони є одними з найгірших учасників ринку. Але потенційні ризики, чітко прояснені в цьому випадку, з фінансовими втратами в мільярди доларів для користувачів і установ, потрібно сприймати серйозно.

Ніщо не дається безкоштовно

Практично кожен VPN рекламує себе як інструмент для захисту конфіденційності користувачів через те, що він маскує наші справжні IP-адреси. Багато користувачів можуть подумати, що цього достатньо для їхніх потреб. Але вони також можуть не знати про те, якою мірою метадані їхньої особистої діяльності в Інтернеті масово збираються, купуються та продаються . Яка користь від прикриття IP-адреси, коли всю нашу історію веб-перегляду можна реконструювати за допомогою алгоритмів на основі штучного інтелекту?

Боротися з цією практикою збору та використання даних непросто, і цілком розумно, що вдосконалена технологія VPN, розроблена спеціально для захисту вашої конфіденційності, потребуватиме певних інвестицій від користувачів. Зрештою, якби хтось запропонував встановити безкоштовну систему відеоспостереження у вашому домі, чи прийняли б ви техніків, не замислюючись?

Коли будь-яке програмне забезпечення пропонується безкоштовно, ймовірно, є приховані витрати. Ці витрати можуть бути такими ж простими, як повільніша або обмеженіша служба VPN. Але зазвичай витрати не такі приємні, як, наприклад, реклама, яка впроваджується у ваш веб-перегляд, і налаштовується за допомогою алгоритмічного аналізу всіх ваших звичок в Інтернеті. Гірше те, що ці самі записи метаданих регулярно продаються величезному підпільному ринку, який жадає IP-адрес і адрес електронної пошти, журналів трафіку та індивідуальних моделей поведінки. І тепер існує реальна ймовірність того, що безкоштовна мережа VPN давно перетворила ваш комп’ютер на зомбі-проксі для дитячих порнографів або шахраїв.

Справжня конфіденційність в Інтернеті має бути основним правом, але насправді це постійна боротьба. Виграти це для всіх у всьому світі означає спочатку бути пильним проти реальних загроз, таких як 911 S5, а також вибрати правильні інструменти для захисту. Безкоштовні VPN не є цими інструментами.

Дізнайтеся більше про поточні загрози конфіденційності, стежачи за повідомленнями Nym!

Nym Dispatch

Це перша стаття із серії Nym Dispatch , яка глибоко занурюється в онлайнову та соціальну екосистему конфіденційності. Приєднуйтесь, щоб дізнатися більше про ризики та тактику заробітку в економіці онлайн-спостереження, починаючи з ринку безкоштовних VPN. Серія охоплюватиме методи реєстрації безкоштовних VPN; їхні навмисно розпливчасті договори згоди; як, чому та кому вони продають наші дані; та їх інвазивні рекламні практики.

Приєднуйтесь до спільноти Nym

Discord // Telegram // Element // Twitter

Приватність любить компанію

English //中文// Русский // Türkçe // Tiếng Việt //日本// Française // Español // Português // 한국인// Українська