Технологии свободы стали оружием. А вы — частью ботнета

Всё больше преступников в цифровом подполье переходят на использование так называемых резидентных прокси-сетей, превращая обыденный интернет-трафик в надёжное прикрытие для своих операций. Эта тактика делает вредоносную активность практически неотличимой от действий обычных пользователей, значительно усложняя работу систем обнаружения угроз.

Ранее киберпреступники предпочитали обращаться к «пуленепробиваемым» хостингам ( bulletproof hosting ) — провайдерам, которые предоставляют серверы без каких-либо вопросов, игнорируя жалобы и не выдавая данные клиентов. Однако под давлением международных расследований и серии арестов, связанных с этими сервисами, многие злоумышленники начали искать новые способы укрытия.

Как рассказали участники конференции Sleuthcon, наблюдается явное смещение интереса с традиционного хостинга на специализированные VPN-сервисы и прокси-сети, которые позволяют менять IP-адреса и объединять трафик разных пользователей в единый поток. Отраслевые специалисты отметили, что основная проблема заключается в невозможности отличить «плохой» трафик от «хорошего» внутри таких сетей — сама структура прокси делает пользователей неразличимыми.

Особую роль в этой стратегии играют резидентные прокси — децентрализованные узлы, которые запускаются на бытовых устройствах: старых телефонах, ноутбуках, смарт-гаджетах. Они предоставляют «настоящие» IP-адреса, принадлежащие жилым или офисным помещениям, что вызывает доверие со стороны систем защиты. Такой трафик гораздо сложнее заблокировать или отследить. Преступники всё чаще используют такие резидентные сети, особенно если они позволяют влиться в те же диапазоны IP-адресов, что и сотрудники целевых компаний. Это делает атаки незаметными для стандартных фильтров и систем мониторинга.

Технология прокси в преступной среде далеко не нова. Ещё в 2016 году Минюст США указывал на трудности в расследовании дела киберпреступной платформы Avalanche из-за её «быстро-переключающегося» хостинга — схемы, при которой IP-адреса постоянно меняются благодаря прокси. Но то, что такие сервисы сегодня массово продаются как полуправовые продукты, говорит о качественном сдвиге в инфраструктуре киберпреступлений.

Прокси-сети теперь не требуют от преступников самостоятельной настройки — всё уже готово и продаётся как услуга. Такие решения зачастую работают в слепую: не фиксируют логи, не отслеживают клиентов, объединяют трафик сотен устройств, что значительно осложняет работу правоохранительных органов.

Перспектив борьбы с таким явлением пока не видно. Можно пытаться пресекать деятельность известных поставщиков прокси, как это уже делалось с хостингами, но сама технология слишком глубоко укоренилась в повседневной интернет-инфраструктуре. Даже уничтожение одного злонамеренного сервиса не решает проблему в целом — сеть останется, и она будет использоваться дальше, как для легитимных целей, так и для преступных.

Пока прокси остаются важным инструментом цифровой свободы, они одновременно служат и надёжной маской для киберугроз — скрывая в потоке домашних IP-адресов атаки, шпионские действия и распространение вредоносного ПО.