911[.]re, layanan proxy yang sejak 2015 telah menjual akses ke ratusan ribu komputer Microsoft Windows setiap hari, mengumumkan minggu ini bahwa ia akan ditutup setelah pelanggaran data yang menghancurkan komponen utama dari operasi bisnisnya. Penutupan tiba-tiba terjadi sepuluh hari setelah KrebsOnSecurity menerbitkan pandangan mendalam tentang 911 dan koneksinya ke program afiliasi bayar-per-instal yang diam-diam menggabungkan perangkat lunak proxy 911 dengan judul lain, termasuk utilitas “gratis” dan perangkat lunak bajakan.
911[.]re is adalah salah satu jaringan “proksi perumahan” asli, yang memungkinkan seseorang untuk menyewa alamat IP perumahan untuk digunakan sebagai relai untuk komunikasi Internetnya, memberikan anonimitas dan keuntungan dianggap sebagai pengguna perumahan berselancar di web.
Layanan proxy perumahan sering dipasarkan kepada orang-orang yang mencari kemampuan untuk menghindari pemblokiran khusus negara oleh penyedia streaming film dan media utama. Tetapi beberapa dari mereka — seperti 911 — membangun jaringan mereka sebagian dengan menawarkan layanan “VPN gratis” atau “proksi gratis” yang didukung oleh perangkat lunak yang mengubah PC pengguna menjadi relai lalu lintas bagi pengguna lain. Dalam skenario ini, pengguna memang bisa menggunakan layanan VPN gratis, tetapi mereka sering tidak menyadari bahwa hal itu akan mengubah komputer mereka menjadi proxy yang memungkinkan orang lain menggunakan alamat Internet mereka untuk bertransaksi online.
Dari perspektif situs web, lalu lintas IP pengguna jaringan proxy perumahan tampaknya berasal dari alamat IP perumahan yang disewa, bukan dari pelanggan layanan proxy. Layanan ini dapat digunakan dengan cara yang sah untuk beberapa tujuan bisnis — seperti perbandingan harga atau intelijen penjualan — tetapi layanan ini disalahgunakan secara besar-besaran untuk menyembunyikan aktivitas kejahatan dunia maya karena dapat mempersulit pelacakan lalu lintas berbahaya ke sumber aslinya.
Sebagaimana dicatat dalam cerita KrebsOnSecurity 19 Juli di 911, layanan proxy mengoperasikan beberapa skema bayar-per-instal yang membayar afiliasi untuk secara diam-diam menggabungkan perangkat lunak proxy dengan perangkat lunak lain, terus menghasilkan aliran proxy baru yang stabil untuk layanan tersebut.
Dalam beberapa jam setelah cerita itu, 911 memposting pemberitahuan di bagian atas situsnya, mengatakan, “Kami sedang meninjau jaringan kami dan menambahkan serangkaian langkah-langkah keamanan untuk mencegah penyalahgunaan layanan kami. Top-up saldo proxy dan pendaftaran pengguna baru ditutup. Kami meninjau setiap pengguna yang ada, untuk memastikan penggunaannya sah dan [sesuai] dengan Persyaratan Layanan kami.”
Pada pengumuman ini, semua terjadi di berbagai forum kejahatan dunia maya, di mana banyak pelanggan 911 lama melaporkan bahwa mereka tidak dapat menggunakan layanan tersebut. Orang lain yang terkena dampak pemadaman mengatakan tampaknya 911 mencoba menerapkan semacam aturan “kenali pelanggan Anda” – bahwa mungkin 911 hanya mencoba menyingkirkan pelanggan yang menggunakan layanan tersebut untuk aktivitas kejahatan dunia maya dalam jumlah besar.
Kemudian pada tanggal 28 Juli, situs web 911 mulai mengalihkan ke pemberitahuan yang mengatakan, “Dengan menyesal kami memberi tahu Anda bahwa kami secara permanen menutup 911 dan semua layanannya pada tanggal 28 Juli.”
Menurut 911, layanan tersebut diretas pada awal Juli, dan ditemukan bahwa seseorang memanipulasi saldo sejumlah besar akun pengguna. 911 mengatakan penyusup menyalahgunakan antarmuka pemrograman aplikasi (API) yang menangani pengisian akun ketika pengguna melakukan setoran keuangan dengan layanan tersebut.
“Tidak yakin bagaimana peretas bisa masuk,” bunyi pesan 911. “Oleh karena itu, kami segera mematikan sistem isi ulang, pendaftaran pengguna baru, dan penyelidikan dimulai.”
Namun penyusup masuk, kata 911, mereka juga berhasil menimpa server, data, dan cadangan data tersebut.
“Pada 28 Juli, sejumlah besar pengguna melaporkan bahwa mereka tidak dapat masuk ke sistem,” lanjut pernyataan itu. “Kami menemukan bahwa data di server dirusak oleh peretas, mengakibatkan hilangnya data dan cadangan. Ini [sic] mengkonfirmasi bahwa sistem isi ulang juga diretas dengan cara yang sama. Kami terpaksa membuat keputusan sulit ini karena hilangnya data penting yang membuat layanan tidak dapat dipulihkan.”
Dioperasikan sebagian besar di luar China, 911 adalah layanan yang sangat populer di banyak forum kejahatan dunia maya, dan ini menjadi sesuatu yang mirip dengan infrastruktur penting bagi komunitas ini setelah dua dari pesaing lama 911 — layanan proxy berbasis malware VIP72 dan LuxSocks — menutup pintu mereka di masa lalu tahun.
Sekarang, banyak di forum kejahatan yang mengandalkan 911 untuk operasi mereka bertanya-tanya apakah ada alternatif yang sesuai dengan skala dan utilitas yang ditawarkan 911. Konsensus tampaknya menjadi “tidak.”
Saya kira kita akan segera belajar lebih banyak tentang insiden keamanan yang menyebabkan 911 meledak. Dan mungkin layanan proxy lain akan bermunculan untuk memenuhi apa yang tampaknya menjadi permintaan yang berkembang untuk layanan tersebut saat ini, dengan pasokan yang relatif sedikit.
Sementara itu, ketidakhadiran 911 mungkin bertepatan dengan penangguhan hukuman terukur (jika hanya berumur pendek) dalam lalu lintas yang tidak diinginkan ke tujuan Internet teratas, termasuk bank, retailer platform tailers dan cryptocurrency, karena banyak mantan pelanggan layanan proxy berebut untuk membuat pengaturan alternatif.
Riley Kilmer, salah satu pendiri layanan pelacakan proxy Spur.us, mengatakan jaringan 911 akan sulit untuk ditiru dalam jangka pendek.
“Spekulasi saya adalah [pesaing 911 yang tersisa] akan mendapatkan dorongan besar dalam jangka pendek, tetapi pemain baru pada akhirnya akan datang,” kata Kilmer. “Tidak satu pun dari itu adalah pengganti yang baik untuk LuxSocks atau 911. Namun, mereka semua akan mengizinkan siapa pun untuk menggunakannya. Untuk tingkat penipuan, upaya akan terus berlanjut tetapi melalui layanan penggantian ini yang seharusnya lebih mudah dipantau dan dihentikan. 911 memiliki beberapa alamat IP yang sangat bersih.”
911 bukan satu-satunya penyedia proxy besar yang mengungkapkan pelanggaran minggu ini terkait dengan API yang tidak diautentikasi: Pada 28 Juli, KrebsOnSecurity melaporkan bahwa API internal yang diekspos ke web telah membocorkan database pelanggan untuk Microleaves, layanan proxy yang merotasi alamat IP pelanggannya setiap lima sampai sepuluh menit. Penyelidikan itu menunjukkan Microleaves — seperti 911 — memiliki sejarah panjang dalam menggunakan skema bayar-per-instal untuk menyebarkan perangkat lunak proxy-nya.
Sumber: Kresbon Security
