Le service proxy 911 explose après la détection d’une violation – Krebs on Security

911[.]re, le service d’agent qui vend depuis 2015 l’accès à des centaines de milliers de Microsoft Windows Computer Daily, a annoncé cette semaine sa fermeture à la suite d’une violation de données qui a dévasté des composants clés de ses opérations commerciales. L’arrêt soudain survient dix jours après que KrebsOnSecurity a publié un examen approfondi du 911 et de ses connexions à des programmes d’affiliation payants louches qui combinaient secrètement des programmes proxy 911 avec d’autres adresses, y compris des utilitaires « gratuits » et des logiciels piratés.

911[.]répéter il est C’était l’un des premiers réseaux de « proxy résidentiel », qui permettait à quelqu’un de louer une adresse IP résidentielle à utiliser comme relais pour ses communications Internet, offrant l’anonymat et l’avantage d’être considéré comme un utilisateur résidentiel naviguant sur le Web.

Les services de proxy résidentiels sont souvent commercialisés auprès de personnes cherchant à échapper aux interdictions spécifiques à un pays imposées par les fournisseurs de films et de médias en continu. Mais certains – comme le 911 – construisent leurs réseaux en partie en offrant des services de « VPN gratuit » ou de « proxy gratuit » qui sont alimentés par un logiciel qui transforme l’ordinateur d’un utilisateur en relais de trafic pour d’autres utilisateurs. Dans ce scénario, les utilisateurs bénéficient déjà d’un service VPN gratuit, mais ils ne réalisent souvent pas que cela transformera leur ordinateur en un proxy permettant à d’autres d’utiliser leur adresse Internet pour effectuer des transactions en ligne.

Du point de vue du site Web, il semble que le trafic IP de l’utilisateur du réseau proxy résidentiel provient de l’adresse IP résidentielle louée, et non du client du service proxy. Ces services peuvent légitimement être utilisés à plusieurs fins commerciales – telles que des comparaisons de prix ou des informations sur les ventes – mais sont largement utilisés à mauvais escient pour masquer l’activité de cybercriminalité car ils peuvent rendre difficile le traçage du trafic malveillant jusqu’à sa source d’origine.

Comme noté dans Crips on Security histoire le 19 juillet sur 911Le service d’agent exploitait plusieurs systèmes de paiement par installation qui incitaient les affiliés à associer subrepticement le programme d’agent à d’autres programmes, créant continuellement un flux constant de nouveaux agents pour le service.

Mise à jour flash en cache[.]net vers 2016, qui montre que la page d’accueil d’un programme d’affiliation payant pour l’installation a stimulé l’installation silencieuse de l’agent 911.

Quelques heures après cette histoire, le 911 a publié un avis en haut de son site, disant : « Nous examinons notre réseau et ajoutons une série de mesures de sécurité pour empêcher l’utilisation abusive de nos services. fermé. Nous examinons tous les utilisateurs existants pour nous assurer que leur utilisation est en place. » légitime et [in] Respect des conditions d’utilisation.

Dans cette annonce, l’enfer s’est déchaîné sur plusieurs forums de cybercriminalité, de nombreux anciens clients du 911 signalant qu’ils n’étaient pas en mesure d’utiliser le service. D’autres personnes touchées par la panne ont déclaré qu’il semblait que le 911 essayait de mettre en œuvre une sorte de règle « connaissez votre client » – peut-être que le 911 essayait simplement d’éliminer les clients qui utilisent le service pour des volumes élevés d’activités cybercriminelles.

Puis, le 28 juillet, le site Web du 911 a commencé à être redirigé vers un avis indiquant : « Nous avons le regret de vous informer que nous avons définitivement fermé le 911 et tous ses services le 28 juillet. »

Selon le 911, le service a été piraté début juillet et il a été découvert que quelqu’un avait trafiqué les soldes d’un grand nombre de comptes d’utilisateurs. 911 a déclaré que les pirates avaient abusé d’une API qui gère la surcharge des comptes lorsque les utilisateurs déposent de l’argent avec le service.

Le message du 911 se lit comme suit : « Je ne sais pas comment le pirate est entré. » « Par conséquent, nous avons fermé de toute urgence le système de recharge, enregistré un nouvel utilisateur et lancé une enquête. »

Un message d’adieu au 911 à ses utilisateurs, publié sur la page d’accueil le 28 juillet 2022.

911 a déclaré que bien que les pirates soient entrés, ils ont également pu écraser le 911 critique[.]Restaurez les serveurs, les données et les copies de sauvegarde de ces données.

La déclaration continue : « Le 28 juillet, un grand nombre d’utilisateurs ont signalé qu’ils ne pouvaient pas se connecter au système. » « Nous avons constaté que les données sur le serveur avaient été endommagées de manière malveillante par le pirate, entraînant la perte de données et de sauvegardes. C’est [sic] Il a confirmé que le système de recharge avait également été piraté de la même manière. Nous avons dû prendre cette décision difficile en raison de la perte de données importantes qui a rendu le service irrécupérable.

Exploité en grande partie en dehors de la Chine, le 911 est un service très populaire sur de nombreux forums de cybercriminalité et est devenu une infrastructure essentielle pour cette communauté après deux concurrents de longue date du 911 – des services proxy basés sur des logiciels malveillants. VIP72 Et le LuxSocks – Ils ont fermé leurs portes l’année dernière.

Aujourd’hui, de nombreux forums criminels qui se sont appuyés sur le 911 pour leurs opérations se demandent à haute voix s’il existe des alternatives à la mesure de l’ampleur et de l’utilité offertes par le 911. Le consensus semble être un « non » retentissant.

Je pense que nous pourrons bientôt en apprendre davantage sur les incidents de sécurité qui ont provoqué l’explosion du 911. Peut-être que d’autres services proxy émergeront pour répondre à ce qui semble être une demande croissante pour de tels services en ce moment, avec une offre relativement faible.

Pendant ce temps, l’absence du 911 pourrait coïncider avec un retard mesurable (quoique de courte durée) du trafic indésirable vers les principales destinations d’Internet, y compris les banques, les détaillants et les plateformes de crypto-monnaie, car de nombreux anciens agents du service proxy se bousculent pour prendre des dispositions. .

Riley KilmerCo-fondateur du service de suivi de proxy SpirosLe réseau 911 sera difficile à reproduire à court terme, a-t-il déclaré.

« Ma conjecture [911’s remaining competitors] Vous obtiendrez beaucoup de soutien à court terme, mais un nouveau joueur finira par arriver « , a déclaré Kilmer. « Aucun d’entre eux n’est une bonne alternative à LuxSocks ou au 911. Cependant, tous permettront à n’importe qui de les utiliser. En ce qui concerne les taux d’escroquerie, les tentatives se poursuivront mais avec ces services de remplacement, il devrait être plus facile de surveiller et d’arrêter. Le 911 a des adresses IP très propres. « 

Le 911 n’était pas le seul fournisseur de proxy majeur à divulguer le piratage de cette semaine lié aux API non authentifiées : le 28 juillet, KrebsOnSecurity a signalé que API internes Web exposées divulguées à partir de la base de données clients de Microleaves, qui est un service proxy qui effectue une rotation des adresses IP de ses clients toutes les cinq à dix minutes. Cette enquête a montré que Microleaves, comme le 911, avait une longue histoire d’utilisation de systèmes de paiement par installation pour diffuser son logiciel proxy.