Trong những góc khuất của internet, một sự chuyển dịch đáng kể đang diễn ra. Một mạng botnet khổng lồ, từng chuyên triển khai các cuộc tấn công DDoS gây gián đoạn, đã âm thầm chuyển hướng trọng tâm sang một hoạt động kinh doanh sinh lời hơn: bí mật định tuyến lưu lượng internet cho hàng ngàn khách hàng thông qua các router gia đình và thiết bị IoT bị xâm nhập. Sự tiến hóa này từ các cuộc tấn công kiểu bạo lực thô bạo sang việc chuyển tiếp dữ liệu một cách lén lút làm nổi bật một nền kinh tế tội phạm mạng ngày càng tinh vi, lợi dụng chính những tiện ích hàng ngày của chúng ta để chống lại chúng ta.
Sự Trỗi Dậy Của Proxy Dân Cư
Cốt lõi của vấn đề này nằm ở thị trường đang bùng nổ dành cho proxy dân cư. Các dịch vụ này cho phép khách hàng định tuyến lưu lượng internet của họ thông qua địa chỉ IP của người dùng gia đình thông thường, khiến kết nối trông như thể xuất phát từ một địa chỉ dân cư hợp pháp thay vì từ một trung tâm dữ liệu. Điều này cực kỳ có giá trị để vượt qua các biện pháp bảo mật trên các trang web chặn các IP của trung tâm dữ liệu đã biết.
Không tồn tại thứ gọi là proxy dân cư có nguồn gốc hợp đạo đức.
Mặc dù một số nhà cung cấp tuyên bố dịch vụ của họ được sử dụng cho các mục đích hợp pháp như so sánh giá cả và giám sát SEO, cộng đồng vẫn tỏ ra hoài nghi sâu sắc. Bản chất của các proxy này—che giấu nguồn gốc thực sự của lưu lượng—khiến chúng trở thành nam châm thu hút các hoạt động gian lận, từ việc tạo tài khoản mạng xã hội giả mạo đến việc thu thập dữ liệu từ các trang web mà rõ ràng cấm điều đó.
Cửa Hậu IoT Trong Phòng Khách Nhà Bạn
Mạng lưới rộng lớn này hoạt động như thế nào? Các nhà nghiên cứu bảo mật đã xác định thủ phạm chính: các router gia đình, đặc biệt là một số model MikroTik chạy phiên bản lỗi thời của phần mềm RouterOS của chúng. Một lỗ hổng bảo mật lần đầu được xác định vào năm 2018 vẫn chưa được vá trên vô số thiết bị trên toàn thế giới, trao toàn quyền kiểm soát các router này cho kẻ tấn công. Một khi đã bị xâm nhập, chúng trở thành những người tham gia không tự nguyện vào một mạng lưới proxy toàn cầu.
Cộng đồng đã vẽ ra sự tương đồng với các thiết bị đáng ngờ khác, chẳng hạn như các thiết bị phát streaming được nạp sẵn đầy đủ và các thiết bị được gọi là Super Box IPTV được bán với giá khoảng 300 đô la Mỹ. Những thiết bị được cấu hình sẵn này, cung cấp quyền truy cập vào nội dung cao cấp mà không cần đăng ký, làm dấy lên lo ngại về những thứ khác có thể đang chạy trong chúng ở chế độ nền.
Các thiết bị thường bị xâm nhập: Router MikroTik với RouterOS lỗi thời (lỗ hổng đã được biết đến từ năm 2018) Thiết bị IPTV "Super Box" đáng ngờ (được bán với giá khoảng 300 USD)
- Stick streaming và Kodi box "fully loaded"
Những Khách Hàng Doanh Nghiệp Trong Bóng Tối
Có lẽ khía cạnh gây tranh cãi nhất là việc ai đang sử dụng các dịch vụ này. Trong khi những đối tượng khả nghi rõ ràng bao gồm những kẻ lừa đảo và gian lận, các bình luận cho thấy các tập đoàn lớn cũng là những khách hàng quan trọng. Các công ty trong lĩnh vực du lịch, công nghệ và thậm chí cả trí tuệ nhân tạo được cho là cũng sử dụng proxy dân cư để vượt qua các hạn chế thu thập dữ liệu và truy cập dữ liệu.
Điều này tạo ra một tình thế tiến thoái lưỡng nan về đạo đức. Khi một công ty AI lớn sử dụng proxy có nguồn gốc từ các thiết bị bị xâm nhập để thu thập dữ liệu, liệu họ có đang vô tình tài trợ cho các hoạt động tội phạm? Thực tiễn này làm mờ ranh giới giữa việc thu thập thông tin tình báo cạnh tranh và việc tham gia vào một hệ sinh thái được xây dựng dựa trên phần cứng người tiêu dùng bị hack.
Các Doanh Nghiệp Được Báo Cáo Sử Dụng Residential Proxies: Các công ty du lịch (ví dụ: Expedia) Các công ty công nghệ Các công ty trí tuệ nhân tạo (ví dụ: OpenAI) Các dịch vụ SEO và xác minh quảng cáo
Tình Thế Tiến Thoái Lưỡng Nan Của Người Dùng Gia Đình
Đối với người dùng bình thường, việc phát hiện liệu router của họ có bị cưỡng chế gia nhập đội quân proxy này hay không gần như là bất khả thi. Lưu lượng thường được mã hóa và việc sử dụng băng thông có thể không đủ lớn để kích hoạt cảnh báo từ các nhà cung cấp dịch vụ internet. Như một người bình luận đã lưu ý, nhiều ISP thậm chí không cung cấp phân tích chi tiết về việc sử dụng có thể tiết lộ hoạt động bất thường.
Trình độ kỹ thuật cần thiết để giám sát lưu lượng mạng gia đình vượt quá khả năng của hầu hết người dùng. Các giải pháp tiên tiến liên quan đến việc phân đoạn mạng và hệ thống phát hiện xâm nhập tồn tại, nhưng chúng không thực tế đối với hộ gia đình thông thường chỉ muốn lướt web và xem phim trực tuyến.
Một Vấn Đề Mang Tính Hệ Thống Cần Giải Pháp Hệ Thống
Tính dai dẳng của vấn đề này—kéo dài hơn hai năm mà không có dấu hiệu thuyên giảm—chỉ ra những lỗ hổng cơ bản trong hệ sinh thái kỹ thuật số của chúng ta. Khó khăn trong việc cập nhật thiết bị IoT, sự thiếu nhận thức về bảo mật trong người tiêu dùng và các động lực kinh tế để duy trì các mạng lưới proxy này tạo ra một cơn bão hoàn hảo khó có thể chống lại.
Một số người trong cộng đồng đã đề xuất các giải pháp kỹ thuật triệt để hơn, chẳng hạn như các giao thức cho phép mạng chặn lưu lượng một cách có chọn lọc từ các khu vực hoặc mạng con bị xâm nhập. Tuy nhiên, khi các cuộc tấn công ngày càng bắt nguồn từ chính các quốc gia mà khách hàng hợp pháp cư trú, việc lọc theo địa lý như vậy trở nên kém hiệu quả hơn.
Sự chuyển dịch từ các cuộc tấn công DDoS sang việc sử dụng proxy dân cư đại diện cho sự trưởng thành của nền kinh tế tội phạm mạng. Tại sao lại phát động các cuộc tấn công ồn ào, thu hút sự chú ý khi bạn có thể âm thầng kiếm tiền từ các thiết bị bị xâm nhập thông qua mô hình dịch vụ? Sự tiến hóa này khiến mối đe dọa ít được nhìn thấy hơn đối với người dùng trung bình nhưng có khả năng gây tổn hại nhiều hơn cho tính toàn vẹn của internet nói chung. Cho đến khi các nhà sản xuất thực hiện cập nhật bảo mật một cách liền mạch và người tiêu dùng trở nên cảnh giác hơn, router của chúng ta sẽ tiếp tục phục vụ hai chủ nhân—chúng ta, và các mạng lưới proxy ngầm đang chạy trong hậu trường.
Tham khảo: Akamai Botnet Shifts from DDoS to Residential Proxies