Por anos, serviços do mercado cinza conhecidos como “hosts à prova de balas” foram uma ferramenta chave para cibercriminosos que buscam manter infraestrutura web anonimamente, sem perguntas. Mas, à medida que as forças de segurança globais tentam combater ameaças digitais, eles desenvolveram estratégias para obter informações dos clientes desses hosts e têm, cada vez mais, mirado nas pessoas por trás dos serviços com indiciamentos. Na conferência focada em cibercrime, Sleuthcon, em Arlington, Virgínia, hoje, o pesquisador Thibault Seret descreveu como essa mudança empurrou tanto as empresas de hospedagem à prova de balas quanto os clientes criminosos em direção a uma abordagem alternativa.
Em vez de depender de hosts web para encontrar maneiras de operar fora do alcance das forças de segurança, alguns provedores de serviços começaram a oferecer VPNs e outros serviços de proxy projetados para rotacionar e mascarar endereços IP dos clientes e oferecer infraestrutura que ou não registra intencionalmente o tráfego ou mistura tráfego de muitas fontes. E embora a tecnologia não seja nova, Seret e outros pesquisadores enfatizaram para a WIRED que a transição para o uso de proxies entre cibercriminosos nos últimos dois anos é significativa.
“O problema é que você não pode distinguir tecnicamente qual tráfego em um nó é ruim e qual tráfego é bom”, disse Seret, um pesquisador da empresa de inteligência de ameaças Team Cymru, à WIRED antes de sua palestra. “Essa é a mágica de um serviço de proxy—você não pode dizer quem é quem. É bom em termos de liberdade na internet, mas é super, super difícil analisar o que está acontecendo e identificar atividades ruins.”
O desafio central de lidar com a atividade cibercriminoso escondida por proxies é que os serviços podem também, ou até principalmente, estar facilitando tráfego legítimo e benigno. Criminosos e empresas que não querem perder esses clientes têm se apoiado particularmente no que é conhecido como “proxies residenciais”, ou uma variedade de nós descentralizados que podem operar em dispositivos de consumo—até mesmo antigos telefones Android ou laptops de baixo custo—oferecendo endereços IP reais e rotativos atribuídos a lares e escritórios. Esses serviços oferecem anonimato e privacidade, mas também podem proteger tráfego malicioso.
Ao fazer com que o tráfego malicioso pareça vir de endereços IP de consumidores confiáveis, os atacantes dificultam muito que os scanners e outras ferramentas de detecção de ameaças das organizações identifiquem atividades suspeitas. E, crucialmente, proxies residenciais e outras plataformas descentralizadas que operam em hardware de consumo diverso reduzem a percepção e controle de um provedor de serviços, dificultando ainda mais para as forças de segurança obterem informações úteis deles.
“Os atacantes têm aumentado o uso de redes residenciais para ataques nos últimos dois a três anos”, diz Ronnie Tokazowski, um pesquisador de fraudes digitais de longa data e cofundador da organização sem fins lucrativos Intelligence for Good. “Se os atacantes estão vindo dos mesmos intervalos residenciais que, digamos, funcionários de uma organização-alvo, é mais difícil rastrear.”
O uso de proxies por criminosos não é novo. Em 2016, por exemplo, o Departamento de Justiça dos EUA disse que um dos obstáculos em uma investigação de anos da notória plataforma cibercriminal “Avalanche” era o uso do método de hospedagem “fast-flux” que ocultava a atividade maliciosa da plataforma usando endereços IP de proxy que mudavam constantemente. Mas a ascensão de proxies como um serviço do mercado cinza, em vez de algo que os atacantes devem desenvolver internamente, é uma mudança importante.
“Eu ainda não sei como podemos melhorar a questão dos proxies”, disse Seret da Team Cymru à WIRED. “Acho que as forças de segurança poderiam mirar provedores de proxies maliciosos conhecidos, como fizeram com hosts à prova de balas. Mas, em geral, proxies são serviços de internet inteiros usados por todos. Mesmo que você derrube um serviço malicioso, isso não resolve o desafio maior.