Действия Национального центра кибербезопасности Нидерландов и 17 миллионов устройств: К чему следует готовиться бизнесу

Полиция Нидерландов (Politie) и Национальный центр кибербезопасности (NCSC) недавно провели скоординированную операцию против массированной инфраструктуры ботнета. В ходе операции было изъято более 200 серверов, расположенных на территории Нидерландов. Эти серверы служили бэкендом для сети, поработившей 17 миллионов устройств по всему миру. Масштаб этой ликвидации является предупреждением для каждого CISO, который полагается на традиционную репутацию IP-адресов для защиты периметра.

За последние два десятилетия я видел много ботнетов, но природа этой конкретной сети иная. Она является частью растущего тренда, когда легитимные сервисы и вредоносные намерения сосуществуют в одном архитектурном пространстве. Отчеты связывают эту инфраструктуру с Asocks, провайдером резидентных прокси. Связь между Asocks и кампанией PROXYLIB, выявленной командой HUMAN Satori, иллюстрирует четкий сдвиг в модели угроз. Злоумышленникам больше не нужно создавать собственные специализированные системы доставки, когда они могут просто купить доступ к миллионам чистых резидентных IP-адресов через коммерческую подписку.

Механика ботнета на базе резидентных прокси

Чтобы понять риск, необходимо разобраться, как эти 17 миллионов устройств попали в сеть. В кампании PROXYLIB вредоносное ПО часто попадало на устройства Android через SDK для прокси-серверов, такие как LumiApps. Эти SDK часто встраиваются в на первый взгляд безобидные приложения. Как только пользователь устанавливает приложение, устройство становится узлом в сети Asocks. Пропускная способность пользователя продается третьей стороне. Хотя пользователь может рассматривать это как способ заработать несколько центов или получить доступ к бесплатному приложению, реальность такова, что его устройство теперь способствует вредоносному трафику.

Платформа Asocks рекламировала доступ к этим устройствам всего за 5 долларов в месяц. Такой низкий порог входа меняет экономику атаки. В моем опыте аудита корпоративных сетей я вижу значительный объем попыток подбора учетных данных (credential stuffing) и парсинга (scraping). Когда эти попытки исходят из дата-центра, их легко заблокировать. Когда они исходят от 17 миллионов уникальных резидентных устройств, ваши традиционные правила WAF становятся обузой. Резидентное устройство по умолчанию имеет высокую репутацию, потому что оно выглядит как легитимный клиент.

Пересмотр предположения о доверии к резидентному трафику

Самое опасное заблуждение в современной кибербезопасности заключается в том, что трафик от резидентных провайдеров (ISP) по определению безопаснее, чем трафик из дата-центров или VPN. В течение многих лет поставщики решений по безопасности продавали идею о том, что «резидентный» означает «человеческий». Эта ликвидация доказывает, что 17 миллионов резидентных устройств были частью преступной инфраструктуры. Я утверждаю, что мы должны инвертировать нашу модель доверия. Резидентный IP-адрес теперь является сигналом высокого риска, если он ведет себя автоматизированно.

Большинство устаревших архитектур безопасности используют ограничение скорости (rate limiting) на основе IP. Если IP-адрес отправляет слишком много запросов, система блокирует его. Однако, имея пул из 17 миллионов устройств, атакующий может менять IP для каждого отдельного запроса. Ни один IP-адрес никогда не достигает порога ограничения скорости. Атака остается невидимой для базовых инструментов мониторинга. Эта асимметрия доступа позволяет злоумышленникам сохранять скрытность при проведении крупномасштабных операций. Если ваша стратегия защиты опирается на выявление «плохих» IP, вы ведете битву, которую уже проиграли.

Последствия для корпоративной архитектуры

Отключение 200 серверов в Нидерландах дает временную передышку, но основная уязвимость сохраняется. Устройства все еще находятся «в дикой природе». Вредоносное ПО по-прежнему присутствует на миллионах планшетов, смартфонов и устройств IoT. Для вашей архитектуры это означает, что периметр больше не является фильтром — это сито.

Мы должны перейти к модели поведенческой проверки. Вместо того чтобы спрашивать «Откуда пришел этот запрос?», система должна спрашивать «Что этот запрос делает?». Это требует глубокой проверки поведения на уровне приложения. Если резидентный IP-адрес обращается к API с частотой или в последовательности, которая не соответствует типичному человеческому поведению, система должна инициировать проверку, такую как proof-of-work или сложная капча (CAPTCHA).

Микросегментация — единственный жизнеспособный путь для внутренней защиты. Если устройство в вашей сети становится частью ботнета, такого как PROXYLIB, его основной целью часто является горизонтальное перемещение (lateral movement) или эксфильтрация данных. Во многих корпоративных средах зараженный смартфон в гостевой сети Wi-Fi имеет прямой путь к VLAN внутренних серверов. Я проводил пентесты, где один скомпрометированный IoT-принтер обеспечивал плацдарм, необходимый для дампа контроллера домена. Вы должны относиться к каждому устройству в вашей сети как к потенциальному узлу ботнета численностью 17 миллионов единиц.

Скрытый риск Интернета вещей (IoT) и непропатченных пограничных устройств

NCSC отметил, что ботнеты часто получают доступ через непропатченные пограничные устройства и слабые пароли. Это базовая гигиена, которую многие организации до сих пор игнорируют. Роутеры и IoT-устройства являются самыми слабыми звеньями, поскольку им часто не хватает телеметрии, имеющейся на управляемых рабочих станциях. У ноутбука есть агент EDR; у умного термостата — нет.

За время моей работы в качестве CISO я обнаружил, что самой сложной частью безопасности является не сложный эксплойт нулевого дня. Это тысячи маленьких неуправляемых устройств, которые постепенно накапливаются в сети. Каждое из них — потенциальный прокси-узел. Когда власти Нидерландов ликвидировали бэкенд Asocks, они не исправили уязвимые устройства. Они лишь удалили механизм управления (C2). Новые злоумышленники неизбежно будут сканировать те же уязвимости для создания следующей сети.

План действий на ближайшие 12 месяцев

Выживание в такой среде зависит от способности двигаться быстрее, чем злоумышленники меняют свою инфраструктуру. Я рекомендую CISO и CTO предпринять следующие шаги в течение следующего года, чтобы устранить системный риск, создаваемый массивными прокси-ботнетами.

• Аудит правил репутации внешних IP-адресов: Пересмотрите настройки вашего WAF и средств защиты от ботов. Если у вас есть белые списки диапазонов резидентных IP или если вы относитесь к ним с меньшим вниманием, немедленно удалите эти правила. Внедрите подход «всегда проверять» независимо от репутации исходного IP.
• Внедрение фингерпринтинга на уровне приложений: Разверните инструменты, способные идентифицировать автоматизированные браузеры и ботов на основе паттернов их выполнения, а не IP-адресов. Ищите несоответствия в TLS-рукопожатиях и HTTP-заголовках.
• Обеспечение строгой микросегментации: Изолируйте IoT и гостевые устройства от производственных сред. Используйте архитектуру Zero Trust, где каждое внутреннее соединение требует явной аутентификации и авторизации. Скомпрометированный смартфон не должен иметь возможности сканировать внутреннюю сеть.
• Сканирование корпоративных активов на наличие Proxyware: Используйте инструменты EDR и MDM для поиска известных SDK прокси-серверов и приложений, предлагающих «пассивный доход» за совместное использование пропускной способности. Создайте политику, явно запрещающую эти приложения на любом устройстве, имеющем доступ к корпоративным данным.
• Ротация учетных данных пограничных устройств и обновление прошивок: Проведите всесторонний аудит всех пограничных устройств, включая роутеры в домашних офисах удаленных сотрудников. Убедитесь, что на них установлены последние версии прошивок, а стандартные пароли заменены на сложные уникальные строки.
• Мониторинг исходящего трафика на наличие паттернов прокси: Отслеживайте необычные исходящие соединения с известными доменами провайдеров прокси или инфраструктурой бэкенда. Большие объемы исходящего трафика от маломощного IoT-устройства — явный индикатор компрометации.

Новая реальность устойчивости инфраструктуры

Власти Нидерландов оказали мировому сообществу большую услугу, ликвидировав этот конкретный ботнет. Однако мы должны рассматривать это как одно сражение в долгой войне на истощение. 17 миллионов задействованных устройств представляют собой огромную поверхность атаки, которая остается уязвимой для следующей кампании.

Архитектура — единственное долгосрочное решение. Вы не можете пропатчить каждое устройство в мире и не можете остановить каждое заражение вредоносным ПО. Однако вы можете спроектировать свои системы так, чтобы компрометация не приводила к катастрофе. Сосредоточив внимание на поведении вместо репутации и на сегментации вместо периметров, вы строите сеть, которая остается устойчивой, даже когда мир полон ботнетов из 17 миллионов узлов.

Источники:

• Dutch National Cyber Security Center (NCSC)
• Politie (Dutch National Police)
• HUMAN Satori Threat Intelligence Team
• NL Times

Отказ от ответственности: Данная статья предназначена исключительно для информационных и образовательных целей и не заменяет профессиональный аудит кибербезопасности или услуги по реагированию на инциденты.