Selama bertahun-tahun, layanan pasar abu-abu yang dikenal sebagai "bulletproof" hosting telah menjadi alat penting bagi pelaku kejahatan siber yang ingin mengelola infrastruktur web secara anonim tanpa pertanyaan. Namun, saat penegak hukum global berusaha menekan ancaman digital, mereka telah mengembangkan strategi untuk memperoleh informasi pelanggan dari host ini dan semakin menyasar orang-orang di balik layanan dengan dakwaan. Di konferensi Sleuthcon yang berfokus pada kejahatan siber di Arlington, Virginia, peneliti Thibault Seret menjelaskan bagaimana pergeseran ini mendorong perusahaan hosting bulletproof dan pelanggan kriminal beralih ke pendekatan alternatif.
Daripada mengandalkan web host untuk beroperasi di luar jangkauan penegak hukum, beberapa penyedia layanan beralih ke VPN yang dirancang khusus dan layanan proxy lainnya guna menggilir dan menyamarkan alamat IP pelanggan serta menyediakan infrastruktur yang sengaja tidak mencatat lalu lintas atau mencampur lalu lintas dari banyak sumber. Meski teknologinya tidak baru, Seret dan peneliti lain menegaskan ke WIRED bahwa peralihan ke penggunaan proxy di kalangan pelaku kejahatan siber dalam beberapa tahun terakhir sangat signifikan.
“Masalahnya, Anda tidak bisa membedakan secara teknis lalu lintas mana di sebuah node yang buruk dan mana yang baik,” kata Seret, peneliti di firma intelijen ancaman Team Cymru, kepada WIRED sebelum presentasinya. “Itulah keajaiban layanan proxy—Anda tak bisa tahu siapa siapa. Ini bagus untuk kebebasan internet, tapi sangat, sangat sulit menganalisis apa yang terjadi dan mengidentifikasi aktivitas jahat.”
Tantangan inti dalam menangani aktivitas kejahatan siber yang tersembunyi di balik proxy adalah bahwa layanan ini mungkin juga—bahkan terutama—memfasilitasi lalu lintas yang sah dan tidak berbahaya. Pelaku kriminal dan perusahaan yang tidak ingin kehilangan mereka sebagai klien banyak mengandalkan apa yang disebut "residential proxies", yaitu serangkaian node terdesentralisasi yang dapat berjalan di perangkat konsumen—bahkan ponsel Android lama atau laptop kelas rendah—menyediakan alamat IP asli yang berputar dan biasanya digunakan di rumah atau kantor. Layanan ini menawarkan anonimitas dan privasi, tapi juga bisa melindungi lalu lintas berbahaya.
Dengan membuat lalu lintas jahat terlihat seperti berasal dari alamat IP konsumen tepercaya, penyerang menyulitkan pemindaian organisasi dan alat deteksi ancaman lain untuk menemukan aktivitas mencurigakan. Yang krusial, residential proxies dan platform terdesentralisasi lain yang berjalan di hardware konsumen yang beragam mengurangi wawasan dan kendali penyedia layanan, mempersulit penegak hukum mendapatkan informasi berguna.
“Penyerang telah meningkatkan penggunaan jaringan residensial untuk serangan dalam dua hingga tiga tahun terakhir,” ujar Ronnie Tokazowski, peneliti penipuan digital lama dan pendiri Intelligence for Good. “Jika penyerang berasal dari kisaran residensial yang sama dengan, misalnya, karyawan organisasi target, lebih sulit dilacak.”
Penggunaan proxy oleh kriminal bukan hal baru. Pada 2016, misalnya, Departemen Kehakiman AS menyatakan salah satu hambatan dalam investigasi bertahun-tahun terhadap platform kejahatan siber terkenal ["Avalanche" adalah penggunaan metode hosting "fast-flux" yang menyembunyikan aktivitas jahat platform menggunakan alamat IP proxy yang terus berubah. Namun, meningkatnya proxy sebagai layanan pasar abu-abu—bukan sesuatu yang harus dikembangkan oleh penyerang sendiri—adalah pergeseran penting.
“Saya belum tahu bagaimana kita bisa memperbaiki masalah proxy,” kata Seret dari Team Cymru kepada WIRED. “Mungkin penegak hukum bisa menarget penyedia proxy jahat yang dikenal, seperti yang mereka lakukan pada host bulletproof. Tapi secara umum, proxy adalah layanan internet utuh yang digunakan semua orang. Bahkan jika satu layanan jahat diturunkan, itu tidak menyelesaikan tantangan yang lebih besar.”