Прокси — это умные инструменты, которые люди используют для доступа к ограниченному контенту и конфиденциального просмотра Интернета. Однако рост использования открытых прокси является причиной кибератак, совершенных известными спонсируемыми группами актеров в апреле 2020 года. Эта ситуация только обострилась, поскольку они продолжают атаковать многие отрасли промышленности в Японии и рынки по всему миру. DeCYFIR, который является флагманским продуктом компании CYFIRMA‘s, отлично справляется с задачей по выявлению этих субъектов, использующих прокси для сокрытия своей личности. Они последовательно используют прокси-серверы, чтобы оставаться в тени. Чего же они хотят добиться от этих атак? Если подумать, они могут украсть много конфиденциальной информации, доступной в Интернете, например, планы инфраструктуры, данные компании, и спланировать свою первоначальную атаку на основе полученных сведений. Как им удается оставаться незамеченными? Они используют прокси-серверы, чтобы скрыть свой IP-адрес, и используют вращающиеся IP-адреса, чтобы обмануть детекторы. В этой статье мы обсудим атаки этих субъектов и рассмотрим два реальных сценария. Давайте начнем.
Справочная информация
Давайте узнаем, как эти субъекты используют прокси-серверы. Злоумышленники используют открытые прокси-серверы, которые легко доступны в Интернете. Затем они ищут открытые серверы, такие как ElasticSearch или MongoDB. Затем они начинают свою атаку, вызывая DDOS. Можно также ожидать, что они начнут добывать криптовалюту. Эта проблема стала серьезной из-за пандемии. COVID-19 захватила мир и заставила предприятия принять удаленную модель, когда они переносят свой магазин в Интернет, а сотрудники работают из дома. В реальном мире немногие предприятия понимают важность кибербезопасности и принимают меры по ее предотвращению. Но есть много предприятий, которым не хватает этих знаний, и в итоге они становятся жертвами злоумышленников. Еще один факт, который помогает злоумышленникам, заключается в том, что предприятия используют домашние сети и плохие VPN-сервисы, которые легко взломать.
Прокси-цепочки, прокси-провайдеры
Что делают злоумышленники за кулисами? Они используют прокси-цепочки, которые помогают им объединить в цепочку множество прокси одновременно. Затем они используют браузер TOR для осуществления своих планов, оставаясь незамеченными властями. Они скрывают реальные IP-адреса и используют такие прокси, как socks5, socks4, HTTPs и http. Почему именно эти прокси? Потому что это некоторые распространенные прокси, используемые бизнесом, и вы можете легко использовать их со многими инструментами разведки. Сеть MikroTik — один из примеров предприятия, эксплуатируемого злоумышленниками. И они умны, поскольку тщательно выбирают тип прокси-сервера в зависимости от своих целей. Например, они могут использовать прокси центра обработки данных, жилые прокси или вращающиеся прокси. На этом все не заканчивается, потому что в темной паутине существует множество прокси-провайдеров, которые также предоставляют инструменты для использования конфиденциальной информации уязвимых предприятий.
Недавнее исследование показало, что существует множество спонсируемых государством хакеров, которые используют открытые прокси-серверы. К ним относятся китайские, корейские и российские злоумышленники. Наблюдаемые в июне 2020 года в рамках кампании $BLT20, актеры Stone Panda, спонсируемые китайским государством, атаковали места в США, Великобритании, Италии, Японии и Франции. В рамках этой кампании одна мандариноязычная группа осуществила серию кибератак на гостиничный конгломерат с целью утечки персонально идентифицируемой информации (PII). Аналогичный случай произошел в рамках кампании Mud Nationals группы Lazarus, спонсируемой государством Н. Корея. Их целью были объекты в Японии. Эта группа проводила кампанию, цели которой совпадали с целями правительства. Они хотели украсть данные об интеллектуальной собственности пяти крупных технологических организаций в Японии. Интересно то, что кампания все еще активна, и злоумышленники постоянно наблюдают за образцами и дизайном продукции.
Заключение
Вот и все. Теперь вы знаете, как злоумышленники используют открытые прокси-серверы для атак на известные организации и предприятия, чтобы использовать их данные и торговать ими с любым, кто готов заплатить за это сумму.