Google đánh sập vũ khí mạng liên quan công ty Trung Quốc trên hàng triệu thiết bị

Hôm 29.1, Google cho biết đã sử dụng một lệnh của tòa án liên bang Mỹ để gỡ bỏ hàng chục tên miền thuộc về công ty Ipidea (Trung Quốc) khỏi internet. Google cùng các nhà nghiên cứu an ninh mạng cho rằng Ipidea là doanh nghiệp mờ ám, chuyên lén cài phần mềm không mong muốn và nguy hiểm lên hàng triệu smartphone, máy tính và thiết bị Android.

Việc kiểm soát hàng chục tên miền cho phép Google vừa đóng các website công khai, vừa vô hiệu hóa hệ thống kỹ thuật phía sau của công ty Trung Quốc bí ẩn này, vốn hoạt động dưới hơn 12 thương hiệu khác nhau.

Google cũng cho biết đã có các bước để gỡ bỏ hàng trăm ứng dụng liên quan đến Ipidea khỏi các thiết bị Android.

Các biện pháp trên dự kiến sẽ giúp hơn 9 triệu thiết bị Android được ngắt khỏi mạng lưới của Ipidea. Động thái của Google nhắm tới một phần ít được biết đến nhưng quan trọng của internet.

Mạng lưới dạng này có tên gọi mạng proxy dân cư (residential proxy), được xây dựng từ các ứng dụng cài đặt trên hầu hết loại thiết bị có kết nối internet, gồm cả thiết bị phát media, máy tính cá nhân và điện thoại di động.

Thiết bị phát media là Android TV Box, Apple TV, Roku, Chromecast, Amazon Fire TV, đầu phát HD, đầu phát đa phương tiện gắn vào TV. Những thiết bị này kết nối internet và cho phép xem YouTube, Netflix, IPTV, nghe nhạc, xem phim trực tuyến hoặc từ ổ cứng.

Ipidea sau đó cho thuê quyền sử dụng các thiết bị này với khách hàng có nhu cầu truy cập internet ẩn danh. Ipidea hoạt động giống Airbnb cho băng thông mạng, ngoại trừ việc những người có thiết bị bị “cho thuê” thường không hề biết điều đó đang xảy ra.

Năm ngoái, Google đã kiện những người vận hành ẩn danh của một mạng lưới gồm hơn 10 triệu TV, máy tính bảng và máy chiếu kết nối internet, với cáo buộc rằng họ đã bí mật cài sẵn phần mềm proxy dân cư trên các thiết bị đó. Hành động hôm 29.1 là sự tiếp nối của một lệnh mà Google nhận được từ tòa án liên bang Mỹ trong vụ việc đó, do có mối liên hệ giữa mạng lưới này và Ipidea.

Google và các nhà nghiên cứu cho biết Ipidea đã lén lút cài đặt phần mềm nguy hiểm lên hàng triệu smartphone, máy tính và thiết bị Android - Ảnh: Bloomberg

Được trang WSJ liên hệ hồi đầu tuần, trước khi bị gỡ bỏ hàng chục tên miền, nữ phát ngôn viên của Ipidea thừa nhận rằng công ty và các đối tác đã tham gia vào các “chiến lược mở rộng thị trường tương đối mạnh mẽ” và “thực hiện hoạt động quảng bá ở những nơi không phù hợp (ví dụ các diễn đàn hacker)”. Thế nhưng, bà cho biết Ipidea sau đó đã thay đổi hoạt động kinh doanh của mình.

Có những mục đích sử dụng hợp pháp với dịch vụ của Ipidea, chẳng hạn để lướt web ẩn danh. Song kể từ khi nổi lên vào cuối năm 2022, Ipidea đã tiếp thị dịch vụ của mình trên các chợ đen tội phạm, theo Riley Kilmer, đồng sáng lập Spur Intelligence - công ty theo dõi hoạt động proxy dân cư.

Các dịch vụ proxy dân cư cũng đã trở thành lựa chọn ưa thích của tội phạm và hacker được nhà nước hậu thuẫn muốn che giấu dấu vết, theo John Hultquist - trưởng bộ phận phân tích của Google Threat Intelligence Group.

“Đây vừa là vấn đề của người tiêu dùng, vừa là vấn đề an ninh quốc gia. Nó đang tạo điều kiện cho một số mối đe dọa nghiêm trọng nhất với đất nước chúng ta”, John Hultquist nhấn mạnh.

Google Threat Intelligence Group là nhóm tình báo mối đe dọa của Google, chuyên theo dõi, phân tích và cảnh báo các nguy cơ an ninh mạng trên toàn cầu.

Midnight Blizzard, nhóm hacker có liên hệ với Nga bị quy trách nhiệm cho vụ tấn công Microsoft năm 2023, đã sử dụng dịch vụ proxy dân cư để che giấu hoạt động của mình, Google cho biết.

Mạng lưới proxy bao phủ 220 quốc gia

Phát ngôn viên của Ipidea cho biết công ty được thành lập vào năm 2020, có vài trăm nhân viên và đặt trụ sở chính tại Trung Quốc. Mạng lưới proxy của Ipidea bao phủ 220 quốc gia trên thế giới và gồm hàng chục triệu thiết bị. Bà từ chối tiết lộ thành phố đặt trụ sở Ipidea hoặc tên giám đốc điều hành công ty.

Theo Google, Ipidea vận hành ít nhất 13 thương hiệu proxy dân cư, với những cái tên như Ipidea, 922 Proxy, Py Proxy và 360 Proxy, tất cả đều bị gỡ bỏ khỏi mạng hôm 29.1.

Phát ngôn viên của Ipidea cho biết công ty “luôn phản đối một cách rõ ràng mọi hành vi bất hợp pháp hoặc lạm dụng nào”.

“Với hoạt động tuân thủ pháp luật là cốt lõi, công ty cung cấp các dịch vụ dữ liệu ổn định và đáng tin cậy cho doanh nghiệp trong nhiều ngành khác nhau. Những dịch vụ này chủ yếu được áp dụng trong các kịch bản kinh doanh hợp pháp như thu thập dữ liệu, phân tích thông tin thị trường, xác minh quảng cáo và chống gian lận”, bà nói.

Theo Riley Kilmer, phần lớn người dùng bị đưa vào các mạng này thông qua việc cài đặt game di động hoặc phần mềm máy tính có bí mật tích hợp mã proxy dân cư. “Nếu bạn mang điện thoại vào nơi làm việc và nó có quyền truy cập các tài nguyên nội bộ của công ty, giờ đây bất kỳ người dùng proxy dân cư nào cũng có thể truy cập những tài nguyên đó”, Riley Kilmer nói.

Xâm nhập hàng triệu hộ gia đình

Nhiều nhà nghiên cứu an ninh đặc biệt lo ngại về các mạng proxy dân cư gần đây, bởi hacker đã sử dụng chúng như một cách để xâm nhập hàng triệu hộ gia đình.

Mùa thu năm ngoái, một nhóm hacker đã phát hiện ra lỗ hổng bảo mật trong hàng triệu thiết bị thuộc mạng lưới khổng lồ của Ipidea. Tận dụng lỗi này, nhóm hacker đã chiếm quyền kiểm soát ít nhất 2 triệu hệ thống. Nhóm hacker xây dựng một botnet khổng lồ riêng có tên Kimwolf và sử dụng nó để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS), làm sập các trang web bằng hàng nghìn tỉ bit dữ liệu rác mỗi giây.

Kimwolf là mạng botnet mạnh nhất từng được tạo ra, Chad Seaman (nhà nghiên cứu an ninh tại công ty mạng Akamai) thông báo.

Ipidea cho biết đã thực hiện các biện pháp để ngăn chặn kiểu chiếm quyền kiểm soát mạng này xảy ra một lần nữa.

Sơn Vân