- 26,936
- 46
- 8 Ноя 2022
Серая экономика прокси оставляет владельцев сайтов без эффективных средств защиты.
Прокси-сети, которые выглядят как обычные домашние подключения, стали одной из самых болезненных проблем для защиты сайтов. Через такие сети злоумышленники прячут атаки среди трафика реальных пользователей, а владельцы зараженных устройств часто даже не знают, что их интернет-соединение уже продают посторонним.
Специалисты Qurium связали рост этой проблемы с ботнетом Kimwolf и более широкой серой экономикой вокруг резидентных прокси. По их данным, Kimwolf показал, как рынок зараженных устройств, прокси-сервисов и инструментов для атак вышел из-под контроля. Если раньше вредоносный трафик чаще шел из центров обработки данных, и такие источники можно было относительно быстро вычислить и заблокировать, то теперь атаки все чаще приходят с обычных домашних адресов.
Резидентные прокси используют устройства, которые находятся вне центров обработки данных. Поставщики таких услуг утверждают, что пользователи добровольно делятся своим подключением, но на практике такие сети часто связаны с сомнительными схемами. Код для прокси может попадать в мобильные приложения, прошивки недорогих Android-устройств и телевизионных приставок. После этого устройство начинает пересылать чужой трафик, показывать поддельную рекламу или участвовать в атаках.
Qurium пишет, что через такие сети уже проходили атаки на инфраструктуру организации, включая перегрузку сайтов, агрессивное сканирование, попытки вторжений и сбор данных без согласия владельцев ресурсов. Среди поставщиков, с которыми специалисты связывали подобные инциденты, названы Rapidseed Box, Bright Data, Rayobyte, Plain Proxies, Oxylabs и Fine Proxy. По словам Qurium, ответы на жалобы часто сводились к заверениям, что компании работают «этично».
Kimwolf стал заметным примером новой волны таких угроз. Ботнет появился в поле зрения Qurium в ноябре 2025 года, когда организация разбирала атаки на сайты независимых медиа. По данным специалистов, Kimwolf использовал части инфраструктуры IPIDEA, китайского поставщика прокси, услугами которого активно пользовались киберпреступники.
Qurium утверждает, что IPIDEA формировала пул адресов через код, встроенный в миллионы непроверенных Android-устройств, а также через устройства, связанные с Badbox 2.0. Операторы Kimwolf нашли способы использовать эту инфраструктуру для собственного прокси-ботнета. После того как ситуация стала слишком заметной, Google и другие участники отрасли начали блокировать элементы сети IPIDEA и связанные бренды, включая 360Proxy, 922Proxy, ABC Proxy, Cherry Proxy, IP2World, LunaProxy, PIA S5 Proxy, PyProxy и TabProxy.
Авторы материала сравнивают Kimwolf с Mirai, ботнетом, который около десяти лет назад заражал уязвимые маршрутизаторы и устройства интернета вещей. Как и Mirai, Kimwolf вырос не на пустом месте. Его операторы использовали уже существующую зараженную экосистему, где устройства годами превращали в товар для рекламы, прокси-сетей и атак.
Корни этой экосистемы Qurium связывает с вредоносной программой Triada, которая еще в 2016 году закреплялась глубоко внутри Android. Позднее похожие подходы стали использоваться в цепочках поставок дешевых устройств. Некоторые Android-приставки и смартфоны выходили с заводов уже с вредоносными компонентами. Такие устройства могли подменять рекламу, имитировать клики и отдавать свое подключение в аренду.
С 2022 года такая модель оформилась в Badbox, а затем в Badbox 2.0. По оценке Qurium, Badbox был не одной группировкой, а рынком с разными участниками. Одни отвечали за прошивки и каналы управления, другие монетизировали рекламу, третьи превращали устройства в домашние точки выхода для прокси-сервисов.
К концу 2025 года доступ к этой инфраструктуре начали получать уже не только организованные группы, но и мелкие участники. Aisuru, Kimwolf и JackSkid не создавали зараженную сеть с нуля. Они воспользовались устройствами, которые уже были скомпрометированы. После этого тихая схема заработка на рекламе и прокси стала источником громких атак на отказ в обслуживании.
Qurium считает, что Kimwolf важен не только как отдельный ботнет. Гораздо опаснее общий сдвиг: вредоносные программы превращают устройства в инфраструктуру, инфраструктура превращается в коммерческий продукт, а новые злоумышленники просто подключаются к готовой системе и зарабатывают на ней.
Прокси-сети, которые выглядят как обычные домашние подключения, стали одной из самых болезненных проблем для защиты сайтов. Через такие сети злоумышленники прячут атаки среди трафика реальных пользователей, а владельцы зараженных устройств часто даже не знают, что их интернет-соединение уже продают посторонним.
Специалисты Qurium связали рост этой проблемы с ботнетом Kimwolf и более широкой серой экономикой вокруг резидентных прокси. По их данным, Kimwolf показал, как рынок зараженных устройств, прокси-сервисов и инструментов для атак вышел из-под контроля. Если раньше вредоносный трафик чаще шел из центров обработки данных, и такие источники можно было относительно быстро вычислить и заблокировать, то теперь атаки все чаще приходят с обычных домашних адресов.
Резидентные прокси используют устройства, которые находятся вне центров обработки данных. Поставщики таких услуг утверждают, что пользователи добровольно делятся своим подключением, но на практике такие сети часто связаны с сомнительными схемами. Код для прокси может попадать в мобильные приложения, прошивки недорогих Android-устройств и телевизионных приставок. После этого устройство начинает пересылать чужой трафик, показывать поддельную рекламу или участвовать в атаках.
Qurium пишет, что через такие сети уже проходили атаки на инфраструктуру организации, включая перегрузку сайтов, агрессивное сканирование, попытки вторжений и сбор данных без согласия владельцев ресурсов. Среди поставщиков, с которыми специалисты связывали подобные инциденты, названы Rapidseed Box, Bright Data, Rayobyte, Plain Proxies, Oxylabs и Fine Proxy. По словам Qurium, ответы на жалобы часто сводились к заверениям, что компании работают «этично».
Kimwolf стал заметным примером новой волны таких угроз. Ботнет появился в поле зрения Qurium в ноябре 2025 года, когда организация разбирала атаки на сайты независимых медиа. По данным специалистов, Kimwolf использовал части инфраструктуры IPIDEA, китайского поставщика прокси, услугами которого активно пользовались киберпреступники.
Qurium утверждает, что IPIDEA формировала пул адресов через код, встроенный в миллионы непроверенных Android-устройств, а также через устройства, связанные с Badbox 2.0. Операторы Kimwolf нашли способы использовать эту инфраструктуру для собственного прокси-ботнета. После того как ситуация стала слишком заметной, Google и другие участники отрасли начали блокировать элементы сети IPIDEA и связанные бренды, включая 360Proxy, 922Proxy, ABC Proxy, Cherry Proxy, IP2World, LunaProxy, PIA S5 Proxy, PyProxy и TabProxy.
Авторы материала сравнивают Kimwolf с Mirai, ботнетом, который около десяти лет назад заражал уязвимые маршрутизаторы и устройства интернета вещей. Как и Mirai, Kimwolf вырос не на пустом месте. Его операторы использовали уже существующую зараженную экосистему, где устройства годами превращали в товар для рекламы, прокси-сетей и атак.
Корни этой экосистемы Qurium связывает с вредоносной программой Triada, которая еще в 2016 году закреплялась глубоко внутри Android. Позднее похожие подходы стали использоваться в цепочках поставок дешевых устройств. Некоторые Android-приставки и смартфоны выходили с заводов уже с вредоносными компонентами. Такие устройства могли подменять рекламу, имитировать клики и отдавать свое подключение в аренду.
С 2022 года такая модель оформилась в Badbox, а затем в Badbox 2.0. По оценке Qurium, Badbox был не одной группировкой, а рынком с разными участниками. Одни отвечали за прошивки и каналы управления, другие монетизировали рекламу, третьи превращали устройства в домашние точки выхода для прокси-сервисов.
К концу 2025 года доступ к этой инфраструктуре начали получать уже не только организованные группы, но и мелкие участники. Aisuru, Kimwolf и JackSkid не создавали зараженную сеть с нуля. Они воспользовались устройствами, которые уже были скомпрометированы. После этого тихая схема заработка на рекламе и прокси стала источником громких атак на отказ в обслуживании.
Qurium считает, что Kimwolf важен не только как отдельный ботнет. Гораздо опаснее общий сдвиг: вредоносные программы превращают устройства в инфраструктуру, инфраструктура превращается в коммерческий продукт, а новые злоумышленники просто подключаются к готовой системе и зарабатывают на ней.
- Источник новости
- www.securitylab.ru
