911-proxyservice explodeert na detectie van inbreuk – Krebs on Security

911[.]re, de agentservice die sinds 2015 toegang heeft verkocht tot honderdduizenden Microsoft Windows Computer Daily heeft deze week aangekondigd dat het de deuren zal sluiten in de nasleep van een datalek dat belangrijke onderdelen van zijn bedrijfsvoering heeft verwoest. De plotselinge sluiting komt tien dagen nadat KrebsOnSecurity een diepgaande kijk op 911 publiceerde en zijn connecties met duistere pay-per-install affiliate-programma’s die in het geheim 911-proxyprogramma’s combineerden met andere adressen, inclusief “gratis” hulpprogramma’s en illegale software.

911[.]herhalen hij is Het was een van de oorspronkelijke “residentiële proxy”-netwerken, waarmee iemand een residentieel IP-adres kon huren om te gebruiken als een relais voor hun internetcommunicatie, wat anonimiteit bood en het voordeel had gezien te worden als een residentiële gebruiker die op internet surft.

Proxydiensten voor woningen worden vaak op de markt gebracht voor mensen die op zoek zijn naar de mogelijkheid om landspecifieke verboden door aanbieders van film- en mediastreaming te omzeilen. Maar sommigen – zoals 911 – bouwen hun netwerken gedeeltelijk op door ‘gratis VPN’- of ‘gratis proxy’-services aan te bieden die worden aangedreven door software die de computer van een gebruiker verandert in een verkeersrelais voor andere gebruikers. In dit scenario krijgen gebruikers al een gratis VPN-service, maar ze realiseren zich vaak niet dat hierdoor hun computer een proxy wordt waarmee anderen hun internetadres kunnen gebruiken om online transacties uit te voeren.

Vanuit een websiteperspectief lijkt het erop dat het IP-verkeer van de residentiële proxy-netwerkgebruiker afkomstig is van het gehuurde residentiële IP-adres, en niet van de proxyserviceclient. Deze services kunnen legitiem worden gebruikt voor verschillende commerciële doeleinden, zoals prijsvergelijkingen of verkoopinformatie, maar worden op grote schaal misbruikt om cybercriminaliteit te maskeren, omdat ze het moeilijk kunnen maken om kwaadaardig verkeer naar de oorspronkelijke bron te herleiden.

Zoals opgemerkt in Crips on Security-verhaal op 19 juli op 911De Agent Service exploiteerde verschillende pay-per-install-systemen die gelieerde ondernemingen ertoe aanzetten het Agent-programma heimelijk te associëren met andere programma’s, waardoor er voortdurend een gestage stroom van nieuwe agenten voor de Service werd gecreëerd.

Flash-update in cache[.]net circa 2016, waaruit blijkt dat de startpagina van een pay-to-install affiliate-programma de stille installatie van de 911-agent aanspoorde.

Binnen enkele uren na dat verhaal plaatste 911 een bericht bovenaan zijn site, waarin stond: “We herzien ons netwerk en voegen een reeks beveiligingsmaatregelen toe om misbruik van onze diensten te voorkomen. Het herladen van de proxy is gesloten en de registratie van nieuwe gebruikers is gesloten. We beoordelen elke bestaande gebruiker om er zeker van te zijn dat het gebruik legitiem is en [in] Naleving van de Servicevoorwaarden.

In deze advertentie explodeerde het allemaal in verschillende cybercriminaliteitsforums, waarbij veel oude 911-klanten meldden dat ze de service niet konden gebruiken. Anderen die door de storing werden getroffen, zeiden dat het erop leek dat 911 een soort ‘ken je klant’-regel probeerde te implementeren – misschien probeerde 911 alleen die klanten uit te schakelen die de service gebruiken voor grote hoeveelheden cybercriminele activiteiten.

Op 28 juli begon de 911-website om te leiden naar een bericht met de tekst: “Het spijt ons u te moeten meedelen dat we 911 en al zijn diensten op 28 juli permanent hebben gesloten.”

Volgens 911 werd de dienst begin juli gehackt en werd ontdekt dat iemand had geknoeid met de tegoeden van een groot aantal gebruikersaccounts. 911 zei dat de hackers een API hebben misbruikt die overbelaste accounts afhandelt wanneer gebruikers geld storten bij de service.

Het 911-bericht luidt: “Ik weet niet zeker hoe de hacker binnen is gekomen.” “Daarom hebben we het oplaadsysteem met spoed stopgezet, een nieuwe gebruiker geregistreerd en een onderzoek gestart.”

Een 911 afscheidsbericht aan zijn gebruikers, geplaatst op de startpagina op 28 juli 2022.

911 zei dat hoewel de hackers binnenkwamen, ze ook de kritieke 911 konden overschrijven[.]Herstel servers, gegevens en reservekopieën van die gegevens.

De verklaring vervolgt: “Op 28 juli meldde een groot aantal gebruikers dat ze niet konden inloggen op het systeem.” “We ontdekten dat de gegevens op de server kwaadwillig werden beschadigd door de hacker, wat resulteerde in het verlies van gegevens en back-ups. Het is [sic] Hij bevestigde dat ook het oplaadsysteem op dezelfde manier is gehackt. We moesten deze moeilijke beslissing nemen vanwege het verlies van belangrijke gegevens waardoor de service onherstelbaar was.”

911 wordt grotendeels buiten China geëxploiteerd en is een zeer populaire service geweest op veel cybercriminaliteitsforums, en is een soort kritieke infrastructuur voor deze gemeenschap geworden na twee oude 911-concurrenten – op malware gebaseerde proxyservices. VIP72 En de LuxSokken – Ze sloten vorig jaar hun deuren.

Nu vragen veel misdaadfora die voor hun operaties op 911 hebben vertrouwd zich hardop af of er alternatieven zijn die in verhouding staan ​​tot de schaal en het nut van 911. De consensus lijkt een volmondig ‘nee’ te zijn.

Ik denk dat we binnenkort meer te weten zullen komen over de veiligheidsincidenten die de explosie van 911 hebben veroorzaakt. Misschien zullen er andere proxy-services verschijnen om tegemoet te komen aan wat op dit moment een groeiende vraag naar dergelijke services lijkt te zijn, aangezien het aanbod relatief schaars is.

Ondertussen zou de afwezigheid van 911 kunnen samenvallen met een meetbare (zij het van korte duur) vertraging in ongewenst verkeer naar de topbestemmingen van internet, waaronder banken, retailers en cryptocurrency-platforms, aangezien veel voormalige agenten van de proxy-service zich haasten om afspraken te maken. .

Riley KilmerMede-oprichter van de proxy-trackingservice SpirosHet 911-netwerk zal op korte termijn moeilijk te repliceren zijn, zei hij.

“Mijn gok [911’s remaining competitors] Je zult op korte termijn veel steun krijgen, maar uiteindelijk komt er een nieuwe speler bij,” zei Kilmer. “Geen van deze zijn goede alternatieven voor LuxSocks of 911. Maar iedereen kan ze gebruiken. Wat betreft zwendelpercentages, zullen de pogingen doorgaan, maar met deze vervangende diensten die gemakkelijker te controleren en te stoppen moeten zijn. 911 heeft een aantal zeer schone IP-adressen. “

911 was niet de enige grote proxy-provider die de hack van deze week met betrekking tot niet-geverifieerde API’s openbaarde: op 28 juli meldde KrebsOnSecurity dat De interne API’s die op internet worden weergegeven, zijn gelekt uit de klantendatabase van Microleaves, een proxyservice die de IP-adressen van zijn klanten elke vijf tot tien minuten roteert. Dit onderzoek toonde aan dat Microleaves, net als de 911, een lange geschiedenis had van het gebruik van pay-per-install-schema’s om zijn proxysoftware te verspreiden.