Google และพันธมิตรได้ดำเนินการครั้งใหญ่เพื่อยุติ IPIDEA ซึ่งเป็นเครือข่าย Residential Proxy ที่ใหญ่ที่สุดแห่งหนึ่งของโลก เครือข่ายนี้ถูกใช้โดยอาชญากรไซเบอร์และกลุ่มที่ได้รับการสนับสนุนจากรัฐเพื่อซ่อนกิจกรรมที่เป็นอันตราย เช่น การโจมตีทางไซเบอร์ การจารกรรม และการขโมยข้อมูล โดยการส่งผ่านการรับส่งข้อมูลอินเทอร์เน็ตผ่านอุปกรณ์ของผู้บริโภคหลายล้านเครื่องที่ถูกบุกรุกโดยไม่รู้ตัว.
Severity: วิกฤต
System Impact:
- อุปกรณ์ของผู้บริโภคทั่วไป (โทรศัพท์มือถือ, แท็บเล็ต)
- อุปกรณ์ Android (ที่ Google Play Services ตรวจจับและลบแอปพลิเคชันที่มีโค้ด IPIDEA)
- ระบบธุรกิจและโครงสร้างพื้นฐานขององค์กร (เป้าหมายของการโจมตีที่ใช้ IPIDEA)
Technical Attack Steps:
- 1. IPIDEA ดำเนินการผ่านชุดพัฒนาซอฟต์แวร์ (SDKs) ที่นักพัฒนาฝังโดยไม่รู้ตัวในแอปพลิเคชันที่ดูเหมือนถูกต้องตามกฎหมาย (เช่น เกม ยูทิลิตี้ หรือแอปพลิเคชันอื่นๆ)
- 2. ผู้ใช้ดาวน์โหลดและติดตั้งแอปพลิเคชันที่มี SDKs เหล่านี้ลงบนอุปกรณ์ของตน
- 3. อุปกรณ์ของผู้ใช้จะกลายเป็นส่วนหนึ่งของเครือข่ายพร็อกซี่โดยที่ผู้ใช้ไม่ทราบหรือให้ความยินยอมที่ชัดเจน
- 4. SDKs ของ IPIDEA จะสร้างระบบการสื่อสาร Command-and-Control (C2) แบบสองชั้น โดยเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมเพื่อรับคำสั่ง
- 5. SDKs จะรักษาการเชื่อมต่ออย่างต่อเนื่องกับเซิร์ฟเวอร์กระจายพร็อกซี่
- 6. ผู้โจมตีใช้เครือข่ายพร็อกซี่นี้เพื่อส่งการรับส่งข้อมูลที่เป็นอันตรายผ่านอุปกรณ์ที่ถูกบุกรุก
- 7. การดำเนินการที่เป็นอันตรายของผู้โจมตีจึงดูเหมือนมาจากผู้ใช้อินเทอร์เน็ตทั่วไป ทำให้ยากต่อการตรวจจับและบล็อก
Recommendations:
Short Term:
- ตรวจสอบให้แน่ใจว่า Google Play Protect ทำงานอยู่บนอุปกรณ์ Android เพื่อตรวจจับและลบแอปพลิเคชันที่มีโค้ด IPIDEA โดยอัตโนมัติ
- ใช้ความระมัดระวังในการดาวน์โหลดแอปพลิเคชัน โดยเฉพาะอย่างยิ่งจากร้านค้าแอปพลิเคชันภายนอก (Third-party app stores) หรือแหล่งที่ไม่เป็นทางการ
- ตรวจสอบสิทธิ์ที่แอปพลิเคชันร้องขอระหว่างการติดตั้ง และปฏิเสธการเข้าถึงที่ไม่จำเป็น
Long Term:
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงในการติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ และความเป็นไปได้ที่อุปกรณ์จะถูกใช้ในเครือข่ายพร็อกซี่โดยไม่รู้ตัว
- ใช้โซลูชัน Endpoint Detection and Response (EDR) ที่แข็งแกร่งเพื่อตรวจสอบกิจกรรมเครือข่ายที่น่าสงสัยที่มาจากอุปกรณ์ของผู้ใช้
- ใช้เครื่องมือวิเคราะห์การรับส่งข้อมูลเครือข่าย (Network Traffic Analysis) เพื่อระบุการเชื่อมต่อขาออกที่ผิดปกติ หรือการใช้พร็อกซี่ภายในเครือข่ายองค์กร
Source: https://cybersecuritynews.com/worlds-largest-ipidea-residential-proxy-network/
Share this content: