A descoberta de que milhões de dispositivos domésticos digitais estão secretamente alimentando ataques cibernéticos perigosos começou há dois anos com um telefonema de um alto executivo de segurança da Microsoft para seu homólogo da Comcast.
A gigante da tecnologia estava investigando uma violação digital que a empresa vinculou a um dos adversários de segurança cibernética mais prolíficos do mundo e precisava de informações sobre seis endereços IP, o equivalente na Internet a um número de telefone.
Seguindo essa trilha, os investigadores da Comcast descobriram que Midnight Blizzard, um grupo de hackers ligado ao Serviço de Inteligência Estrangeiro da Rússia, conseguiu obter acesso a e-mails pertencentes à liderança sênior da Microsoft usando as conexões de Internet dos usuários para interceptar tráfego negativo.
O que a força-tarefa descobriu abalou o mundo da segurança cibernética e levou anos para ser compreendido: mais dispositivos de consumo de baixo custo estão sendo enviados nos EUA com software backdoor pré-instalado, e esse software também está sendo pirateado em aplicativos móveis e cópias ilegais de videogames livres de direitos autorais.
O software transformou milhões de dispositivos de usuários em redes criminosas de computação em nuvem. Estas redes não só foram utilizadas para fraudes, como também foram adoptadas por hackers patrocinados pelo governo que tentam esconder os seus laços com países como a Rússia, a China, o Irão e a Coreia do Norte.
Chamados de redes proxy residenciais, esses serviços permitem que qualquer pessoa que pague direcione seu tráfego de Internet através de um endereço externo. É como o Airbnb para acesso à internet. Nem todos os utilizadores destas redes são criminosos, mas responsáveis do governo e da indústria dizem que as redes de proxy residenciais explodiram em escala e perigo nos últimos anos. A Digital Citizens Alliance, um grupo de defesa digital, estima que 20 milhões destes estão atrasados só nos Estados Unidos.
“Este é um grande problema por causa dos números”, disse Nupur Davis, chefe de segurança da informação da Comcast. É um dos problemas mais preocupantes que a empresa de telecomunicações já viu, disse ele.
(Esta história explica como se proteger de uma porta dos fundos sorrateira que pode permitir que hackers entrem em sua casa.)
Brett Leatherman, diretor assistente da divisão cibernética do Federal Bureau of Investigation, disse que as redes proxy residenciais são agora o recurso de referência para hackers de estados-nação, que as usam como canais para alvos dos EUA. “Se os atores conseguirem obter espaço IP baseado nos EUA, eles terão uma vantagem para poder atingir agências governamentais, indústria e outros”, disse ele.
Em Abril, agências governamentais de nove países, incluindo os EUA, o Reino Unido, a Alemanha e o Japão, alertaram que hackers chineses patrocinados pelo Estado estavam a utilizar redes de dispositivos de consumo pirateados para gerir as suas operações, “tornando difícil atribuir actividades maliciosas”, de acordo com uma declaração conjunta.
Os hackers patrocinados pelo Estado da China costumavam hackear seus rastros invadindo eles próprios dispositivos de consumo, mas isso mudou, disse Leatherman.
A investigação da Comcast começou em fevereiro de 2024. Começou com um telefonema para Davis de Igor Tsyganskiy, seu homólogo da Microsoft, que queria saber mais sobre seis endereços IP da Comcast.
Os investigadores da Comcast finalmente descobriram que os endereços IP atribuídos a Tsyganskiy pertenciam a clientes que estavam em uma rede proxy residencial operada por um provedor chinês chamado IPidea, disse Davis.
A IPidea usou vários métodos lineares para instalar seu software em dispositivos de consumo, incluindo o pré-carregamento de seu software em caixas de streaming de vídeo e porta-retratos digitais. A empresa então aluga o acesso ao local onde seu software está instalado para que seus clientes possam transferir o tráfego da Internet através de diferentes redes domésticas.
Ele pode devolver um usuário em Moscou através de uma rede doméstica em Bellingham, Washington, por exemplo. E é nesse tipo de capacidade que hackers de estados-nação como a Midnight Blizzard contam para fazer seus ataques funcionarem.
À medida que os engenheiros da Comcast investigavam os tópicos, perceberam que esses seis endereços IP faziam parte de uma rede maior de cerca de 750.000 endereços IP localizados em residências e empresas.
Os engenheiros de commodities sabiam que os dispositivos conectados à Internet eram vulneráveis a ataques cibernéticos, mas algo estava diferente aqui. Era uma porta dos fundos na América, operando em escala industrial.
Em setembro, a Comcast descobriu que os usuários dessas redes proxy residenciais eram capazes de acessar a rede – mesmo que estivessem executando firewalls – e depois passar de um dispositivo para outro.
Para o usuário doméstico, isso significa que um dispositivo de streaming de vídeo infectado pode ser usado para invadir o celular de alguém. Se esse telefone entrar na rede corporativa do seu próprio dispositivo, poderá colocar informações confidenciais em risco.
“Esta foi uma grande mudança em relação a qualquer risco que havíamos visto antes”, disse Davis, da Comcast.
Em janeiro, o Google desativou a infraestrutura da IPidea por meio de uma ordem judicial dos EUA. A rede proxy residencial voltou a funcionar em duas semanas. É possível escolher mais dispositivos proxy residenciais de um novo provedor, disse a Comcast.
Adam Myers, vice-presidente sênior da empresa de segurança cibernética CrowdStrike, disse que os hackers modernos usam cada vez mais essas redes para roubar credenciais de login que suas vítimas usam para serviços de computação em nuvem. “A identidade é o seu pão com manteiga, e uma peça de infraestrutura da qual eles dependem são os proxies residentes”, disse ele.
Recentemente, a Midnight Blizzard começou a usar redes proxy residenciais para um novo tipo de ataque baseado em identidade que é muito difícil de detectar, de acordo com a Vulxity, uma empresa de pesquisa de segurança cibernética.
No ano passado, hackers russos roubaram credenciais do Microsoft 365 das vítimas como parte de uma técnica antivírus furtiva e sofisticada que inclui reuniões falsas do Microsoft Teams, disse Volksty.
Os servidores da Microsoft teriam soado o alarme se os russos tentassem fazer login em contas infectadas do exterior. Em vez disso, eles usam redes proxy residenciais para fazer login nas redes domésticas dos EUA, disse Steven Adair, presidente da Vulxity.
Pesquisadores de vulcanidade viram esta técnica comprometer organizações governamentais, militares, de relações exteriores e até mesmo da mídia, disse Adair. “Eles não estão mais tentando roubar sua senha”, disse ele. “É difícil encontrar e é difícil parar.”
Escreva para Robert McMillan em robert.mcmillan@wsj.com
