Botnet và backdoor: VPN trojan horse miễn phí

Bạn biết rất ít về Internet và thậm chí còn biết ít hơn về tội phạm. Và rồi đột nhiên, hàng núi pháp y kỹ thuật số và an ninh mạng đột nhiên ập đến với bạn. Cảnh sát tịch thu các thiết bị của bạn và lùng sục từng centimet trong cuộc sống số của bạn. Cuối cùng, cơ quan chức năng cũng cho bạn biết, máy tính của bạn và địa chỉ IP duy nhất của nó chịu trách nhiệm về hành vi gian lận trong phạm vi năm chữ số. Hoặc có thể họ nói bạn đã làm điều gì đó thậm chí còn khó hiểu hơn. Dù bằng cách nào, bạn sẽ phải điều hướng một địa ngục pháp lý để cố gắng xóa tên mình khỏi một tội ác mà bạn có thể thậm chí không hiểu. Cơn ác mộng này có thể quá thực tế đối với nhiều người dùng Internet.

VPN miễn phí được sử dụng trong mạng botnet khổng lồ khai thác hàng triệu thiết bị

Chỉ vài tuần trước, một hoạt động quốc tế do Bộ Tư pháp Hoa Kỳ (DoJ) dẫn đầu đã đánh sập một mạng botnet toàn cầu rộng khắp có tên 911 S5. Trong suốt một thập kỷ, cái mà DoJ gọi là “có thể là mạng botnet lớn nhất thế giới từ trước đến nay” đã xâm nhập vào 19 triệu địa chỉ IP duy nhất ở gần 200 quốc gia. Quyền truy cập vào các thiết bị bị xâm nhập sau đó được bán cho bọn tội phạm để thực hiện các cuộc tấn công mạng, trộm cắp, lừa đảo và che giấu các hoạt động bất hợp pháp đằng sau IP của những người dùng không có nghi ngờ gì về điều đó.

Điểm mấu chốt trong câu chuyện này là botnet đã sử dụng các cửa hậu được thiết kế thành sáu phần mềm Mạng riêng ảo (VPN) miễn phí, ngoài chức năng VPN còn là phần mềm độc hại. Sau khi bắt giữ botmaster bị cáo buộc, Cục Điều tra Liên bang (FBI) đã đưa ra một thông báo dịch vụ công cộng (PSA) cảnh báo người dùng gỡ cài đặt VPN và quét hệ thống của họ để tìm các tệp phần mềm độc hại đã mở cổng cho hệ thống của họ bị tội phạm khai thác.

Phần đầu tiên của Nym Dispatch tập trung vào những rủi ro khi sử dụng các dịch vụ VPN “miễn phí”. Như những gì tìm thấy trong suốt loạt bài này, nhiều VPN miễn phí có thể gây ra mối đe dọa thực sự đối với quyền riêng tư và bảo mật của người dùng, đồng thời chúng hầu như luôn chứa các hành vi xâm lấn như quảng cáo được nhắm mục tiêu. Điều này hoàn toàn trái ngược với lý do chính khiến người dùng chuyển sang VPN: quyền riêng tư, bảo mật và ẩn danh trực tuyến thực sự. Mạng botnet 911 S5 có lẽ là một hồi chuông cảnh tỉnh, nhưng vấn đề còn sâu xa hơn nhiều.

ProxyGate 2024: Trojan house trị giá hàng tỷ đô la

Botnet là một mạng lưới các thiết bị bị xâm nhập có thể được điều khiển từ xa bởi một thực thể trung tâm. Sau khi bị xâm nhập, các thiết bị này có thể được sử dụng để thực hiện các hoạt động độc hại sau lưng người vận hành, chẳng hạn như tấn công DDoS, phát tán thư rác, lừa đảo hoặc lan truyền tài liệu tiêu cực như nội dung khiêu dâm trẻ em.

Với mạng proxy dân cư 911 S5 được triển khai và được cung cấp bởi 150 máy chủ trên toàn thế giới, botmaster đã bán quyền truy cập vào hàng chục triệu địa chỉ IP thông qua một thị trường ảo. Sau đó, người mua đã sử dụng các IP này để thực hiện một loạt các hoạt động bất hợp pháp, đáng chú ý nhất là lừa gạt chương trình viện trợ đại dịch hàng tỷ đô la của chính phủ Hoa Kỳ thông qua các yêu cầu bồi thường giả mạo của người nộp đơn.

Làm thế nào mà hoạt động ở quy mô này có thể thực hiện được ngay từ đầu? Theo lệnh tòa án của DoJ ngày 10 tháng 5 năm 2024, nghi phạm đã cài đặt quyền truy cập cửa sau vào thiết bị của người dùng chủ yếu bằng cách cung cấp “phần mềm VPN trực tuyến miễn phí” của riêng họ và che giấu “các thuộc tính độc hại khỏi những người dùng cố tình tải xuống những gì họ cho là chương trình VPN hợp pháp.” Phần mềm độc hại cũng lây lan thông qua phần mềm torrent và “dịch vụ trả tiền cho mỗi lần cài đặt”, trong đó các nhà phân phối kỹ thuật số được trả tiền mỗi khi chương trình đi kèm phần mềm độc hại được cài đặt thành công trên thiết bị người dùng.

Thị trường 911 S5 được cho là đã bị các nhà điều tra đánh sập vào năm 2022 trước khi xuất hiện trở lại với tên gọi “Cloudrouter” vào năm 2023. Tuy nhiên, phần mềm độc hại vẫn tiếp tục hoạt động trên hệ thống của người dùng mà không có bất kỳ sự can thiệp nào thêm cho đến khi “Chiến dịch Tunnel Rat” có tiêu đề phù hợp của FBI cuối cùng đã bị gỡ bỏ. các miền VPN và công khai tên của các chương trình VPN.

Vào thời điểm bị bắt vào ngày 24 tháng 5 năm 2024, theo ước tính của chính phủ, kẻ bị cáo buộc là chủ bot đã kiếm được 99 triệu USD lợi nhuận từ việc bán quyền truy cập IP. Một khoản tiền đáng kinh ngạc là 5,9 tỷ USD đã bị lừa đảo từ các chương trình hỗ trợ thất nghiệp và đại dịch của chính phủ Hoa Kỳ. Những mất mát, đau đớn và bối rối mà hàng triệu cá nhân vô tình trên toàn thế giới phải gánh chịu vẫn chưa được lắng nghe.

Cửa hậu VPN miễn phí

Sáu dịch vụ VPN và proxy được cho là chịu trách nhiệm cung cấp các cửa hậu để lây nhiễm phần mềm độc hại trong mạng botnet 911 S5:

• MaskVPN
• DewVPN
• PaladinVPN
• ProxyGate
• ShieldVPN
• ShineVPN

Chính xác thì chúng ta biết gì về chúng? Đúng như dự đoán, chúng ta biết về chúng ít đến đáng ngạc nhiên. Bản cáo trạng nêu rõ rằng các dịch vụ VPN này được thiết kế đặc biệt cho mục đích xây dựng mạng botnet. Phần mềm độc hại vẫn hoạt động trong nền hệ thống của người dùng dưới dạng các tệp hoạt động .exe có vẻ vô hại, chẳng hạn như “MaskVPN.exe”, mà người dùng có thể cho rằng đang bảo vệ chúng. Dù sao đi nữa, việc thiếu thông tin về các VPN được hàng triệu người dùng tải xuống này là một dấu hiệu rõ ràng về việc ngành công nghiệp VPN miễn phí không được kiểm soát và xem xét kỹ lưỡng như thế nào.

Các dịch vụ VPN duy trì các miền thực nêu trên đã bị FBI thu giữ, bao gồm PaladinVPN.com, DewVPN.com và ShineVPN.com. Miền giả cho MaskVPN vẫn hoạt động là Maskvpns.com, hứa hẹn rằng bạn, những người dùng may mắn, có thể “có thể bảo mật và chống rò rỉ [sic] để bảo vệ quyền riêng tư của mình”.

Ảnh chụp màn hình trang chủ paladinvpn.com vào ngày 10 tháng 6 năm 2024.

Kể từ khi xuất bản, nhiều ứng dụng mang tên của các dịch vụ trên vẫn có sẵn để tải xuống từ Google Play, Apple và các cửa hàng ứng dụng khác, chẳng hạn như ShieldVPN, ShineVPN và MaskVPN, trong đó một số ứng dụng như Shine VPN liệt kê có hơn 500 nghìn lượt tải xuống trên Google Play. Tuy nhiên, Nym chưa xác nhận liệu trên thực tế những ứng dụng này có tương ứng với những ứng dụng được liệt kê trong bản cáo trạng hay đúng hơn là với các nhà cung cấp tương đồng khác hay không. Máy chủ proxy ProxyGate, từ lâu đã bị các công ty và diễn đàn báo cáo bảo mật gắn cờ là có hoạt động độc hại, dường như vẫn có thể tải xuống dưới dạng ProxyGate VPN, mặc dù không rõ liệu ứng dụng này có tương ứng với mạng botnet 911 S5 hay không.

Chúng ta sẽ phải chờ thêm thông tin chi tiết về hoạt động của các dịch vụ VPN cụ thể này, nền tảng nào đã phân phối chúng và chính xác có bao nhiêu người dùng đã tải xuống chúng trong những năm qua. Nhưng có những câu hỏi quan trọng mà chúng ta nên hỏi trong lúc này:

• Làm thế nào mà các chức năng phần mềm độc hại của các VPN này không bị phát hiện trong nhiều năm như vậy?
• Các phần mềm miễn phí VPN khác trên thị trường hiện đang thực hiện những chức năng bí mật nào khác?
• Chúng ta sẵn sàng chấp nhận bao nhiêu vi phạm quyền riêng tư và rủi ro bảo mật để tiết kiệm vài đô la mỗi tháng khi có thể đầu tư vào một công cụ bảo mật thực sự?

Rủi ro VPN miễn phí

Người ta ước tính rằng hơn 1/5 số người trên toàn cầu đang sử dụng VPN và một nửa đó đang sử dụng phiên bản miễn phí thay vì phiên bản trả phí. Điều này có ý nghĩa gì đối với quyền riêng tư của 600 triệu người dùng VPN trên toàn thế giới?

Về nguyên tắc, không có gì sai với dịch vụ “miễn phí”. Và trên thực tế, có những nhà cung cấp dịch vụ VPN đáng tin cậy cung cấp VPN bảo vệ quyền riêng tư miễn phí và như một hàng hóa công cộng. Nhưng các mô hình kinh doanh chủ yếu của hàng trăm VPN miễn phí có sẵn để tải xuống chẳng có gì khác ngoài lòng vị tha: nếu không có doanh thu từ đăng ký của người dùng thì chắc chắn họ sẽ kiếm tiền theo những cách khác.

Như chúng ta sẽ thấy trong loạt bài đang diễn ra của Nym, doanh thu ẩn này đến từ một số chiến thuật: quảng cáo được nhắm mục tiêu, bán dữ liệu người dùng cho nhà môi giới và thậm chí cho phép các bên thứ ba cài đặt cookie trên trình duyệt của người dùng để theo dõi hoạt động của họ. Nói tóm lại, VPN miễn phí tiếp thị quyền riêng tư nhưng chúng thu lợi từ việc giám sát. Và mục tiêu của sự giám sát này không phải là hành vi sai trái mà là những chi tiết vi mô trong cuộc sống cá nhân của chúng ta.

Tuy nhiên, các VPN miễn phí đằng sau mạng botnet 911 S3 cho thấy một rủi ro bảo mật nghiêm trọng hơn nhiều: việc một thế giới tội phạm ngầm chiếm quyền điều khiển thiết bị và danh tính của chúng ta. Tất nhiên, những dịch vụ VPN độc hại này chỉ là một vài trong số hàng trăm VPN “miễn phí” có sẵn để người dùng tải xuống và chúng có thể là một trong những tác nhân tồi tệ nhất trên thị trường. Nhưng nguy cơ tiềm ẩn đã được nêu rõ trong trường hợp này, với tổn thất tài chính hàng tỷ đô la cho người dùng và tổ chức, cần phải được xem xét nghiêm túc.

Không có gì miễn phí

Hầu như mọi VPN đều tự quảng cáo mình là một công cụ để bảo vệ quyền riêng tư của người dùng nhờ thực tế là nó che dấu địa chỉ IP thực của người dùng. Nhiều người dùng có thể nghĩ rằng điều này là đủ cho nhu cầu của họ. Nhưng họ cũng có thể không nhận thức được mức độ mà siêu dữ liệu về các hoạt động cá nhân trực tuyến của họ đang được thu hoạch và mua bán hàng loạt. Việc sử dụng lớp che địa chỉ IP để làm gì khi toàn bộ lịch sử duyệt web của chúng ta có thể được xây dựng lại bằng các thuật toán do AI cung cấp?

Việc chống lại các hoạt động thu thập và khai thác dữ liệu này không hề đơn giản và điều hợp lý là công nghệ VPN tiên tiến được thiết kế đặc biệt để bảo vệ quyền riêng tư của bạn sẽ yêu cầu người dùng đầu tư ở một mức độ nào đó. Rốt cuộc, nếu ai đó đề nghị lắp đặt hệ thống camera an ninh miễn phí tại nhà bạn, bạn có chào đón các kỹ thuật viên đến mà không cần suy nghĩ kỹ không?

Khi bất kỳ phần mềm nào được cung cấp miễn phí, có thể sẽ có những chi phí ẩn. Những chi phí này có thể đơn giản như dịch vụ VPN chậm hơn hoặc hạn chế hơn. Nhưng thông thường, chi phí không hợp lý, chẳng hạn như quảng cáo được đưa vào trải nghiệm duyệt web của bạn được tùy chỉnh thông qua phân tích thuật toán về tất cả thói quen trực tuyến của bạn. Tệ hơn nữa là thực tế là những bản ghi siêu dữ liệu giống nhau này thường xuyên được bán cho một thị trường ngầm rộng lớn đang khao khát địa chỉ IP và email, nhật ký lưu lượng truy cập và các mẫu hành vi cá nhân. Và bây giờ, có khả năng thực sự là VPN miễn phí từ lâu đã biến máy tính của bạn thành proxy zombie cho những kẻ lừa đảo hoặc khiêu dâm trẻ em.

Quyền riêng tư trực tuyến thực sự phải là một quyền cơ bản, nhưng thực tế đó là một cuộc chiến đang diễn ra. Giành chiến thắng cho mọi người dùng trên toàn cầu có nghĩa là trước tiên phải cảnh giác trước các mối đe dọa thực sự như 911 S5, đồng thời chọn các công cụ thích hợp để tự bảo vệ mình. VPN miễn phí không phải là những công cụ này.

Tìm hiểu thêm về các mối đe dọa hiện tại đối với quyền riêng tư bằng cách theo dõi Nym Dispatch!

Nym Dispatch

Đây là bài viết đầu tiên của loạt bài Nym Dispatch đi sâu vào hệ sinh thái quyền riêng tư trên mạng và xã hội. Hãy theo dõi để tìm hiểu thêm về các rủi ro và chiến thuật kiếm tiền của nền kinh tế giám sát trực tuyến, bắt đầu từ thị trường VPN miễn phí. Loạt bài này sẽ đề cập đến các hoạt động ghi nhật ký của VPN miễn phí; hợp đồng đồng ý mơ hồ có chủ ý của họ; họ bán dữ liệu của chúng ta như thế nào, tại sao và cho ai; và các hoạt động quảng cáo xâm lấn của họ.

Miễn trừ trách nhiệm: Tất cả nội dung trên kênh đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Người đọc nên tự tiến hành nghiên cứu trước khi đưa ra các quyết định có ảnh hưởng đến bản thân hay doanh nghiệp của mình và sẵn sàng tự chịu trách nhiệm cho những lựa chọn ấy.