Google gỡ bỏ mạng lưới proxy của Trung Quốc, ngăn chặn tin tặc nhà nước lạm dụng

Thứ Tư (28/1), Google cho biết, theo lệnh của tòa án liên bang Hoa Kỳ, hãng đã tiến hành các biện pháp đối với Ipidea – một công ty proxy dữ liệu lớn của Trung Quốc – bằng cách gỡ bỏ hàng chục tên miền và hàng trăm ứng dụng Android liên quan, dự kiến ảnh hưởng đến hơn 9 triệu thiết bị.

Ipidea bị cáo buộc vận hành một mạng lưới “proxy dân cư” (Residential Proxy) khổng lồ. Mô hình hoạt động của nó tương tự mô hình “chia sẻ tài nguyên” như Airbnb, cho phép “cho thuê” băng thông của điện thoại, máy tính gia đình hoặc thiết bị đa phương tiện của người dùng cho khách hàng trả phí để truy cập Internet ẩn danh, trong khi chủ sở hữu thiết bị thường hoàn toàn không hay biết.

Nhóm Tình báo Đe dọa của Google (GTIG) cho biết mạng lưới này ngày càng trở thành công cụ để các tổ chức tội phạm và tin tặc cấp quốc gia che giấu hành tung. Báo cáo cho thấy (liên kết) các nhóm tin tặc đến từ Trung Quốc, Triều Tiên, Iran và Nga đã sử dụng mạng proxy của Ipidea.

Nhà phân tích trưởng của Nhóm Tình báo Đe dọa của Google, ông John Hultquist, nhấn mạnh đây vừa là vấn đề của người tiêu dùng, đồng thời cũng là vấn đề an ninh quốc gia. Nó đang tiếp tay cho một số mối đe dọa nghiêm trọng nhất đối với Hoa Kỳ.

Người phát ngôn của Ipidea nói với Wall Street Journal rằng công ty được thành lập vào năm 2020, có trụ sở tại Trung Quốc và sở hữu vài trăm nhân viên. Dịch vụ mạng proxy của công ty trải rộng trên 220 quốc gia trên toàn cầu, bao phủ hàng chục triệu thiết bị.

Tin tặc Nga và mạng botnet mạnh nhất Kimwolf

Theo điều tra của Google, nhóm tin tặc có liên quan đến Nga mang tên “Midnight Blizzard” từng sử dụng dịch vụ proxy dân cư để che giấu hành tung khi xâm nhập Microsoft vào năm 2023.

Điều khiến các chuyên gia an ninh mạng lo ngại hơn là do bản thân Ipidea tồn tại lỗ hổng, vào mùa thu năm ngoái, một nhóm tin tặc khác đã lợi dụng sơ hở này, kiểm soát ít nhất 2 triệu thiết bị, xây dựng một mạng botnet có tên Kimwolf và sử dụng nó để tiến hành các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Nhà nghiên cứu Chad Seaman của công ty mạng Akamai mô tả Kimwolf là một trong những mạng botnet mạnh nhất trong lịch sử, có khả năng phát động các cuộc tấn công bằng lưu lượng rác với lưu lượng lên tới hàng nghìn tỷ bit mỗi giây, làm tê liệt nhiều loại trang web.

Ipidea tuyên bố đã áp dụng các biện pháp nhằm ngăn chặn việc mạng lưới bị chiếm quyền kiểm soát như vậy tái diễn.

Bộ công cụ phát triển phần mềm (SDK) trở thành cửa hậu xâm nhập

Google cho biết Ipidea vận hành ít nhất 13 thương hiệu proxy dân cư, bao gồm Ipidea, 922 Proxy, Py Proxy và 360 Proxy. Tất cả các thương hiệu này đều đã bị gỡ bỏ trong hành động diễn ra vào thứ Tư (28/1).

Một mạng proxy dân cư lành mạnh phải kiểm soát hàng triệu địa chỉ IP có thể bán cho khách hàng sử dụng. Các địa chỉ IP tại Mỹ, Canada và châu Âu đặc biệt được ưa chuộng. Để đạt được điều này, các nhà vận hành mạng proxy dân cư cần có mã chạy trên thiết bị của người tiêu dùng, đưa các thiết bị này vào mạng lưới và đóng vai trò là “nút thoát” (Exit Nodes).

Vì vậy, Ipidea đã thiết kế nhiều bộ công cụ phát triển phần mềm (SDK). Một khi nhà phát triển quyết định tích hợp SDK vào ứng dụng của mình, Ipidea sẽ trả thù lao cho họ dựa trên “số lượt tải” của ứng dụng đó. Khi người dùng tải xuống các trò chơi hoặc phần mềm công cụ có chứa những đoạn mã này, thiết bị sẽ trở thành “nút thoát” của mạng proxy.

Đầu tuần này, trước khi hành động gỡ bỏ diễn ra, trong email gửi Wall Street Journal, một nữ phát ngôn viên của Ipidea đã thừa nhận rằng công ty và các đối tác từng áp dụng chiến lược mở rộng thị trường tương đối quyết liệt, đồng thời quảng bá tại những địa điểm không phù hợp (như các diễn đàn tin tặc).

Tuy nhiên, sau đó bà cho biết công ty đã cải thiện mô hình kinh doanh và khẳng định rằng luôn kiên quyết phản đối mọi hình thức hành vi phi pháp hoặc lạm dụng.

Google kích hoạt bảo vệ tự động, kêu gọi người tiêu dùng nâng cao cảnh giác

Để đối phó với mối đe dọa này, Google đã tăng cường hệ thống bảo vệ Google Play Protect, tự động cảnh báo và gỡ bỏ các ứng dụng có chứa SDK liên quan đến Ipidea, đồng thời ngăn chặn việc cài đặt trong tương lai.

Google nhắc nhở người tiêu dùng nên hết sức cảnh giác với bất kỳ ứng dụng nào quảng bá việc chia sẻ băng thông nhàn rỗi để đổi lấy thù lao, vì những phần mềm như vậy có thể trở thành cửa hậu của mạng gia đình, cho phép tin tặc tiếp cận các thiết bị cá nhân và tài nguyên nội bộ nằm trong cùng một mạng.

Ngoài ra, khi mua các thiết bị kết nối mạng như đầu thu TV thông minh, người dùng nên xác nhận xem thiết bị có chứng nhận an ninh chính thức hay không, nhằm bảo đảm an toàn cho quyền riêng tư và dữ liệu cá nhân.