09/06/25
Эта тактика делает вредоносную активность практически неотличимой от действий обычных пользователей, значительно усложняя работу систем обнаружения угроз.
Ранее киберпреступники предпочитали обращаться к «пуленепробиваемым» хостингам (bulletproof hosting) — провайдерам, которые предоставляют серверы без каких-либо вопросов, игнорируя жалобы и не выдавая данные клиентов.
Однако под давлением международных расследований и серии арестов, связанных с этими сервисами, многие злоумышленники начали искать новые способы укрытия.
Как рассказали участники конференции Sleuthcon, наблюдается явное смещение интереса с традиционного хостинга на специализированные VPN-сервисы и прокси-сети, которые позволяют менять IP-адреса и объединять трафик разных пользователей в единый поток. Отраслевые специалисты отметили, что основная проблема заключается в невозможности отличить «плохой» трафик от «хорошего» внутри таких сетей — сама структура прокси делает пользователей неразличимыми.
Особую роль в этой стратегии играют резидентные прокси — децентрализованные узлы, которые запускаются на бытовых устройствах: старых телефонах, ноутбуках, смарт-гаджетах, пишет Securitylab. Они предоставляют «настоящие» IP-адреса, принадлежащие жилым или офисным помещениям, что вызывает доверие со стороны систем защиты. Такой трафик гораздо сложнее заблокировать или отследить. Преступники всё чаще используют такие резидентные сети, особенно если они позволяют влиться в те же диапазоны IP-адресов, что и сотрудники целевых компаний. Это делает атаки незаметными для стандартных фильтров и систем мониторинга.
