أعلنت جوجل وشركاؤها هذا الأسبوع عن إحباط عملية واسعة النطاق استهدفت أحد أكبر شبكات البروكسي السكنية في العالم، وهي شبكة IPIDEA، التي كانت تُستخدم من قبل جهات إجرامية ومجموعات حكومية لشن هجمات سيبرانية. هذه الشبكة كانت تقوم بتوجيه حركة الإنترنت عبر ملايين الأجهزة الاستهلاكية العادية المنتشرة حول العالم، مما يسمح للمهاجمين بإخفاء أنشطتهم خلف عناوين IP تبدو شرعية.
تُعد شبكة IPIDEA تهديداً كبيراً نظراً لحجمها الهائل وقدرتها على بيع الوصول إلى مجموعة ضخمة من عناوين IP السكنية المسروقة، مع تركيز خاص على الأجهزة في الولايات المتحدة وكندا وأوروبا. يستخدم المهاجمون هذه العناوين لجعل أفعالهم الضارة تبدو وكأنها تأتي من مستخدمي إنترنت عاديين، مما يجعل اكتشاف ومنع هذه الهجمات أمراً بالغ الصعوبة على فرق الأمن.
تأثير إيقاف شبكات البروكسي الخبيثة
وقد أوضح محللو وباحثو Google Cloud أن شبكة IPIDEA تعمل من خلال حزم تطوير البرمجيات (SDKs) التي يقوم المطورون بتضمينها دون علمهم في تطبيقات تبدو شرعية. عندما يقوم المستخدمون بتنزيل هذه التطبيقات، مثل الألعاب أو الأدوات المساعدة، تصبح أجهزتهم جزءاً من شبكة البروكسي دون علمهم أو موافقتهم الصريحة.
من جانبها، تستخدم الشركة أسماء تجارية متعددة، بما في ذلك 360 Proxy و Luna Proxy، لإخفاء حقيقة أن جميع هذه الخدمات تخضع لسيطرة نفس المجموعة من المشغلين. هذا التكتيك يزيد من صعوبة تحديد مصدر التهديدات ومواجهتها بفعالية.
آلية عمل شبكة IPIDEA
تعتمد آلية الإصابة على الخداع بدلاً من استغلال الثغرات البرمجية المعقدة. تظل حزم SDK الخاصة بـ IPIDEA خامدة داخل التطبيقات العادية حتى يتم تفعيلها، ثم تحول أجهزة المستخدمين بصمت إلى نقاط خروج لحركة البروكسي. بمجرد تضمينها، تقوم هذه الحزم بإنشاء أنظمة اتصال ثنائية المستويات للتحكم والسيطرة.
ترتبط هذه الأنظمة أولاً بخوادم التحكم لتلقي التعليمات، ثم تحافظ على اتصالات مستمرة بخوادم توزيع البروكسي. تسمح هذه البنية للمهاجمين بتوجيه حركتهم الضارة عبر الأجهزة المصابة تلقائياً. في غضون أسبوع واحد فقط في يناير 2026، استخدم أكثر من 550 مجموعة تهديد تم تتبعها عقد خروج IPIDEA لشن هجمات متنوعة، بما في ذلك الوصول إلى أنظمة الأعمال وعمليات رش كلمات المرور التي تستهدف البنية التحتية للشركات.
من جهة أخرى، استهدفت إجراءات الإنفاذ التي قامت بها جوجل البنية التحتية للتحكم، والنطاقات القانونية المستخدمة للتسويق، وعملت مع شركاء المنصات مثل Cloudflare. كما قامت الشركة بدمج حمايات في خدمات Google Play، مما يضمن أن أجهزة Android تكتشف وتزيل تلقائياً التطبيقات التي تحتوي على شفرات IPIDEA.
بينما قللت هذه الجهود مجتمعة بشكل كبير من القدرة التشغيلية للشبكة عبر إزالة ملايين الأجهزة المتاحة، يحذر خبراء الأمن من أن شبكات بروكسي مماثلة تستمر في التوسع عالمياً. وتؤكد هذه التطورات على الحاجة المستمرة لليقظة وتطوير الأدوات الدفاعية لمكافحة التهديدات السيبرانية المتطورة.