Google hat nach eigenen Angaben das NetNut-Botnetz erheblich geschwächt – ein riesiges Netzwerk aus privaten Proxy-Geräten, das laut dem Unternehmen von Cyberkriminellen und staatlich unterstützten Spionagegruppen genutzt wurde, um bösartige Aktivitäten im Internet zu verschleiern. Gemeinsam mit dem FBI, Lumen Technologies und weiteren Partnern nahm Google die Infrastruktur ins Visier, welche das Netzwerk steuerte.

Das Unternehmen schätzt, dass die Aktion ein Botnetz mit rund 2 Millionen internetfähigen Geräten getroffen hat.

Nach Angaben von Google stellt die Maßnahme einen weiteren wichtigen Schritt dar, um das schnell wachsende Ökosystem privater Proxy-Dienste zu schwächen, das Cyberangriffe ermöglicht.

Google nahm die NetNut-Kommandoinfrastruktur ins Visier

Die Google Threat Intelligence Group (GTIG) gab die Operation am Donnerstag bekannt und erklärte, dass Google Konten und Dienste deaktiviert habe, die zur Steuerung der Kommando- und Kontrollinfrastruktur des NetNut-Botnetzes genutzt wurden.

Darüber hinaus stellte Google Strafverfolgungsbehörden, Technologieunternehmen und Cybersicherheitsforschern technische Informationen über die Software Development Kits (SDKs) und Backend-Systeme von NetNut zur Verfügung, um die laufenden Ermittlungen zu unterstützen.

Die aktuelle Maßnahme baut auf der Zerschlagung des Proxy-Netzwerks IPIDEA auf, die Google bereits Anfang des Jahres durchgeführt hatte.

Innerhalb nur einer Woche im Juni identifizierte die GTIG 316 verschiedene Bedrohungsgruppen, die mutmaßliche NetNut-Ausgangsknoten nutzten. Darunter befanden sich sowohl finanziell motivierte Cyberkriminelle als auch staatlich unterstützte Spionagegruppen.

Millionen Geräte bildeten das Proxy-Netzwerk

Google geht davon aus, dass NetNut auf rund 2 Millionen Geräten in Privathaushalten weltweit basierte.

Durch die Sperrung des Zugangs zu Google-Diensten habe das Unternehmen die Zahl der Geräte, die dem Betreiber des Proxy-Netzwerks zur Verfügung standen, deutlich reduziert und gleichzeitig dessen Geschäftsbetrieb erheblich gestört.

Google warnt außerdem, dass sich die Infrastruktur von NetNut weit über die eigene Marke hinaus erstreckt.

Der Dienst betreibt ein Wiederverkäuferprogramm, über das Kunden den Zugang zum Netzwerk unter ihrem eigenen Markennamen anbieten können. Dadurch könnten zahlreiche Anbieter privater Proxy-Dienste in Wirklichkeit dieselbe Infrastruktur nutzen, obwohl sie als eigenständige Unternehmen auftreten.

Google rechnet deshalb damit, dass die Aktion zahlreiche Dienste innerhalb des gesamten Ökosystems privater Proxy-Netzwerke beeinträchtigen wird.

Warum private Proxy-Botnetze ein Sicherheitsrisiko darstellen

Private Proxy-Dienste leiten den Internetverkehr über gewöhnliche Internetanschlüsse in Privathaushalten statt über klassische Rechenzentren.

Cyberkriminelle nutzen solche Netzwerke, um den tatsächlichen Ursprung ihrer Angriffe zu verschleiern. Dadurch wirken bösartige Aktivitäten so, als kämen sie von legitimen privaten IP-Adressen.

Nach Angaben von Google erweitern die Betreiber ihre Netzwerke häufig, indem sie Proxy-Software in mobile Apps oder internetfähige Verbrauchergeräte integrieren.

In manchen Fällen installieren Nutzer Anwendungen mit verstecktem Proxy-Code, ohne dies zu bemerken. In anderen Fällen werden Geräte bereits vor dem Verkauf mit Schadsoftware ausgeliefert.

Laut GTIG nutzten Bedrohungsakteure das NetNut-Botnetz, um ihre Standorte bei Password-Spraying-Angriffen zu verschleiern und mit ihrer Kommando- und Kontrollinfrastruktur zu kommunizieren.

Die Forscher brachten außerdem Bestandteile des Botnetzes mit mehreren weiteren Malware-Kampagnen in Verbindung, darunter BadBox 2.0, das zuvor bereits zerschlagen wurde und günstige Android-Geräte sowie andere Unterhaltungselektronik ins Visier nahm.

Google warnt vor weiter wachsendem Proxy-Markt

Obwohl Strafverfolgungsbehörden und Technologieunternehmen weiterhin große Proxy-Netzwerke zerschlagen, geht Google davon aus, dass der Markt für private Proxy-Dienste weiterhin rasant wächst.

Nach Angaben des Unternehmens verbreitete sich NetNut häufig über SDKs, die in Geräte wie Smart-TVs und Streaming-Boxen integriert waren. Öffentliche Berichte bringen die Infrastruktur außerdem mit Mirai-basierten DDoS-Botnetzen in Verbindung.

Google rät Nutzern davon ab, Anwendungen zu installieren, die Geld dafür versprechen, ungenutzte Internetbandbreite zu teilen, da solche Angebote häufig als Einfallstor für Proxy-basierte Schadsoftware dienen.

Das Unternehmen empfiehlt außerdem, Apps ausschließlich aus vertrauenswürdigen App-Stores herunterzuladen, die Berechtigungen von VPN- und Proxy-Anwendungen sorgfältig zu prüfen und integrierte Sicherheitsfunktionen wie Google Play Protect aktiviert zu lassen.

Google bestätigte, dass Play Protect bekannte Anwendungen mit NetNut-SDKs bereits blockiert und auch künftig neue Installationsversuche verhindern wird, sobald weitere Bedrohungen erkannt werden.


0 Kommentare zu „Google und FBI zerschlagen NetNut-Botnetz aus Millionen kompromittierter Geräte“