Ваш телефон или роутер мог оказаться одним из 17 миллионов устройств, тайно сданных в аренду

Ботнет не всегда выдаёт себя тем, что телефон начинает тормозить, а экран заполняют всплывающие окна. Сеть, которую только что обезвредила полиция Нидерландов, почти не делала ничего, что заметил бы обычный владелец. Она тихо заимствовала крохотную долю мощности более чем 17 миллионов устройств — компьютеров, смартфонов, планшетов, домашних роутеров и подключённых к интернету гаджетов — и сдавала их соединения в аренду посторонним. Если одним из таких устройств было ваше, кто-то, кого вы никогда не встретите, мог месяцами просматривать сайты, собирать данные или атаковать ресурсы через вашу домашнюю линию.

Национальная полиция Нидерландов и национальный центр кибербезопасности страны прекратили работу сети после того, как изъяли около 200 серверов у хостинг-провайдера на территории самих Нидерландов. Следователи описывают сеть как сервис резидентных прокси — систему, которая пропускает чужой трафик через реальные пользовательские устройства, чтобы он выглядел как обычный домашний сёрфинг. Эта маскировка и есть весь продукт. Трафик, который будто бы исходит от настоящего домашнего адреса, проскальзывает мимо антифрод-фильтров, мгновенно блокирующих известный сервер из дата-центра, и именно поэтому резидентные прокси так ценят рекламодатели, сборщики данных и преступники в равной мере.

Нидерландские СМИ связали инфраструктуру с ASOCKS — компанией со штаб-квартирой в России, которая на коммерческой основе продаёт доступ к резидентным и мобильным прокси. На первый взгляд ASOCKS выглядит как обычный сервис по подписке. Проблема в том, откуда берутся его домашние соединения. Исследователи безопасности годами предупреждают, что значительная часть устройств, питающих подобные сети, никогда не подключалась осознанно, а их владельцы понятия не имели, что их канал выставлен на продажу.

Устройства вербовали несколькими способами, и почти все они сводятся к неуместному доверию к бесплатному софту. Кто-то установил бесплатное приложение — обои, утилиту для телефона или неофициальный VPN, — которое в фоне тихо тянуло за собой прокси-софт. На Android библиотека кода под названием PROXYLIB, спрятанная внутри комплекта разработчика, который создатели приложений встраивали в свои продукты, регистрировала телефоны как прокси-узлы, не спрашивая. Другие машины заражали вредоносным ПО, которое устанавливало ту же функцию напрямую. Во всех случаях устройство продолжало работать как обычно, пока его соединение трудилось на кого-то другого.

Попав в общий пул, соединение устройства можно было использовать почти для всего, чему выгодно выглядеть как невинный домашний пользователь. Власти Нидерландов сообщают, что сеть питала фишинговые кампании, спам, атаки на отказ в обслуживании, выводящие сервисы из строя, попытки входа методом перебора и подстановки украденных паролей, кликфрод и схемы с платными SMS, которые тихо вытягивают деньги. Один угнанный роутер сам по себе мало на что способен. Семнадцать миллионов, собранные вместе, превращаются в серьёзную инфраструктуру.

Ликвидация реальна, но это не исцеление. Полиция забрала серверы, координировавшие сеть, однако сайт ASOCKS после операции оставался доступен, и сколько на самом деле разрушено в основе бизнеса — неясно. Отключение командных серверов не очищает автоматически 17 миллионов устройств, потому что встроенный прокси-код и вредоносное ПО могут нетронутыми лежать в телефоне или роутере, пока их не подберёт новый оператор. К тому же злоупотребление резидентными прокси — это рынок, а не одна компания. Закрываешь одну сеть, и спрос перетекает к следующей, ведь законный аппетит на реальные адреса — от фирм по проверке рекламы до ИИ-компаний, вычёсывающих интернет, — держит модель прибыльной.

Для понимания масштаба: 17 миллионов устройств ставят эту сеть в число крупнейших прокси, когда-либо отключённых, намного больше многих вредоносных ботнетов, попадающих в заголовки за распространение одного вируса. Но, в отличие от заражения программой-вымогателем, явного симптома почти никогда нет. Признаки обычно прозаичны: роутер, который перегревается или перезагружается без причины, домашний тариф, постоянно упирающийся в лимит трафика, телефон, у которого расход батареи и данных не совпадает с тем, как вы им пользуетесь, или сайты, снова и снова требующие пройти капчу, потому что ваш адрес кажется им подозрительным.

Поскольку заражённые устройства были разбросаны по всему миру, а не сосредоточены в одной стране, риск не региональный. В сеть мог попасть любой, у кого старый роутер или дешёвый Android-телефон, набитый бесплатными утилитами. Практические меры защиты невзрачны и хорошо знакомы: обновляйте роутеры и телефоны, удаляйте бесплатные приложения, которыми вы на самом деле не пользуетесь, держитесь подальше от софта, скачанного вне официальных магазинов, и неофициальных VPN, обещающих что-то даром, а роутер, который годами работает нетронутым, просто перезагрузите.

Дело началось, когда исследователь безопасности сообщил центру кибербезопасности о подозрительной прокси-активности, и власти Нидерландов дали понять, что анализ изъятых серверов продолжается, а об арестах пока не объявлено. Ясно одно: экономика устройств теперь включает чёрный рынок вашего канала связи. В следующий раз, когда приложение окажется бесплатным, продаваемым товаром может стать то самое интернет-соединение, за которое вы уже платите.