Бесплатное VPN-приложение продало десятки тысяч IP-адресов своих пользователей хакерам

Эта история в очередной раз подтверждает поговорку о том, что бесплатный сыр бывает только в мышеловках. А самые незащищенные в интернете — это дети и подростки.

Как обмануть игру

Пару лет назад в англоязычном сегменте интернета набрала популярность игра под названием Gorilla Tag («Догонялки с гориллами»). Надев шлем виртуальной реальности, игроки, в основном дети и подростки, управляли своим персонажем-приматом. Цель игры — незаметно подкрасться к противнику и осалить его. Можно еще перестреливаться из рогаток или просто общаться. Но салки — это главное!



Разумеется, некоторые продвинутые игроки очень быстро обнаружили способ, как сжульничать в игре. Виртуальные частные сети (VPN) позволяли хитрым геймерам менять свое местоположение в игре и получать преимущество перед другими игроками за счет задержки сигнала.

Работает это следующим образом: читеры устанавливают VPN на свои устройства виртуальной реальности. Это создает задержку в передаче данных между игроком и сервером. В свою очередь, замедление сигнала дает возможность подкрасться к противникам незамеченными и отметить их раньше, чем они успеют среагировать.

Разумеется, те, кто первым обнаружил эту лазейку в Gorilla Tag, тут же сняли кучу видеоуроков, показывающих как настроить VPN на гарнитуре виртуальной реальности от компании Meta*. Ролики очень быстро набрали тысячи просмотров: у подростков и детей очень высок дух соперничества, поэтому школьники кинулись ставить VPN на свои виртуальные шлемы и прочие устройства.

Тут-то все и началось. Само собой, малолетние геймеры пользовались бесплатными приложениями. Про них же потом рассказывали в своих видеоуроках. Одно из них — Big Mama VPN. Как и тысячи подобных программ, «Большая Мама» предоставляет пользователям возможность изменить свое местоположение.

У мало-мальски знающего человека моментально бы возник вопрос: за счет чего обеспечивается бесплатность? Чтобы организовать собственный VPN-сервис, нужны весьма дорогие серверные машины, которые будут обрабатывать запросы пользователей и обеспечивать их безопасность. Для этого, конечно, можно арендовать виртуальные сервера у хостинг-провайдеров, но свои физические сервера, как правило, надежнее, особенно если они находятся в стране, которая смотрит сквозь пальцы на киберпреступления.

Сюрприз от «Большой Мамы»

Так и вышло. Оказалось, что Big Mama VPN продает доступ к домашним интернет-соединениям своих пользователей. Любой желающий может купить у «Большой Мамы» IP-адрес гарнитуры виртуальной реальности, а затем, прикрываясь им, решать свои проблемы в онлайн-режиме.



Специалисты по кибербезопасности говорят, что этот метод перенаправления трафика (локальный прокси-сервер), который часто используется на мобильных устройствах, в последнее время стал популярен у злоумышленников. Они используют этот инструмент для атак, задействуя ботнеты и прокси-сети.

Формально, с точки зрения закона, претензий к Big Mama VPN пока нет, но прокси-серверы этой компании активно рекламируются на форумах, где собираются киберпреступники. Также известно, что с помощью адресов, предоставленных «Большой Мамой», совершена как минимум одна масштабная кибератака.

Специалисты Trend Micro, фирмы, специализирующейся на цифровой безопасности, заметили, что в начале 2024 года в каталогах прокси-серверов вдруг появились VR-гарнитуры Meta*. Небольшое расследование показало, что адреса предоставлены компанией Big Mama, бесплатное приложение которой подростки использовали для взлома игры Gorilla Tag. Надо сказать, VR-гарнитуры находились на третьем месте по использованию Big Mama VPN, уступая лишь устройствам Samsung и Xiaomi.


— Стивен Хилт, старший исследователь угроз в Trend Micro.

«Мы тут ни при чем…»

Представители Another Axiom, которые разработали Gorilla Tag, говорят, что такого не может быть, так как «компания использует продвинутые механизмы защиты от мошенничества». Meta* вообще не стала никак отвечать на вопросы о том, что на ее гарнитуры устанавливают VPN, а потом используют для противоправных действий.

На данный момент Big Mama VPN продает около 21 000 IP-адресов из ОАЭ, 4000 из США и десятки, а иногда даже сотни адресов из ряда других государств. Приобретение возможно исключительно за криптовалюту. Компания предупреждает, что предоставляет адреса «исключительно для легальных целей, мошенники будут немедленно отключены». Но мы же понимаем, как оно происходит на самом деле.



Эксперты Trend Micro, изучив Darknet, утверждают: Big Mama регулярно рекламируется на подпольных форумах, где киберпреступники обсуждают покупку инструментов для вредоносных целей. Израильская компания по обеспечению безопасности Kela обнаружила более 1000 сообщений, связанных с прокси-сетью Big Mama, на 40 различных форумах и каналах Telegram.

И еще более показателен тот факт, что аккаунты под названием «bigmama_network» и «bigmama» были зарегистрированы как минимум на 10 форумах, включая форумы киберпреступников, такие как WWHClub, Exploit и Carder. В объявлениях указаны цены, бесплатные пробные версии, а также Telegram и другие контактные данные Big Mama.

Про саму компанию очень мало информации. Известно только, что фирма BigMama SRL зарегистрирована в Румынии. Представители «Большой Мамы» на контакт идут очень неохотно и клянутся, что никакой рекламой среди хакеров не занимаются. Впрочем, им мало кто верит, потому что деньги не пахнут, особенно в криптовалюте…

*Meta Platforms признана экстремистской организацией, ее деятельность запрещена на территории Российской Федерации.