Google und seine Partner haben das NetNut-Proxy-Netzwerk, einen der weltweit größten Anbieter von Residential-Proxys, zerschlagen und den Zugriff auf schätzungsweise zwei Millionen kompromittierte Android-Geräte unterbunden. Die Aktion richtete sich gegen eine Infrastruktur, die Cyberkriminelle und Spionagegruppen nutzten, um ihre bösartigen Aktivitäten hinter legitimen Internetverbindungen privater Haushalte zu verbergen.
Google nimmt riesiges Residential-Proxy-Netzwerk ins Visier
Die Google Threat Intelligence Group (GTIG) teilte mit, dass NetNut, auch unter dem Namen Popa bekannt, mindestens zwei Millionen infizierte Geräte weltweit kontrollierte.
Das Botnetz basierte hauptsächlich auf kompromittierten Android-Geräten, darunter Smart-TVs, Streaming-Boxen und andere internetfähige Unterhaltungselektronik.
Laut GTIG wurden viele Geräte über trojanisierte Apps oder Schadsoftware infiziert, die bereits vor dem Verkauf mit Software gebündelt worden war. Weitere Infektionen gingen auf Botnetze wie Badbox 2.0 zurück, die Proxy-Plugins auf anfälligen Geräten installierten.
So funktionierte das NetNut-Proxy-Netzwerk
Residential-Proxy-Netzwerke ermöglichen es Angreifern, ihren Internetverkehr über kompromittierte Geräte in Privathaushalten zu leiten.
Anstatt verdächtige Server zu verwenden, verstecken sich Bedrohungsakteure hinter legitimen IP-Adressen privater Haushalte. Dadurch erschweren sie ihre Entdeckung während laufender Cyberangriffe.
Die betroffenen Nutzer bemerken häufig nicht, dass ihre Geräte schädlichen Datenverkehr weiterleiten. Internetanbieter und Onlinedienste können die infizierten Geräte jedoch aufgrund der verdächtigen Aktivitäten mit der Zeit kennzeichnen oder sperren.
FBI und Google koordinieren weltweite Aktion
An der Zerschlagung beteiligten sich Google, das FBI, Lumen Technologies, die Shadowserver Foundation sowie mehrere weitere Branchenpartner.
Im Rahmen der Aktion beschlagnahmte das FBI mehrere Domains, die vom NetNut-Proxy-Netzwerk genutzt wurden, darunter netnut.com.
Google deaktivierte außerdem die Konten und Dienste, die die Betreiber von NetNut zur Steuerung ihrer Command-and-Control-Infrastruktur (C2) verwendeten. Nach Angaben des Unternehmens wurde dadurch der Zugriff auf kritische Backend-Systeme blockiert, die den Betrieb des Botnetzes ermöglichten.
Hunderte Bedrohungsgruppen nutzten NetNut
GTIG beobachtete 316 verschiedene Bedrohungscluster, die innerhalb einer einzigen Woche im vergangenen Monat mutmaßliche NetNut-Ausgangsknoten nutzten.
Den Forschern zufolge verwendeten Cyberkriminelle und Spionagegruppen den Dienst, um auf ihre eigene Infrastruktur zuzugreifen, Password-Spraying-Angriffe durchzuführen und Zielnetzwerke zu erreichen, ohne ihren tatsächlichen Standort preiszugeben.
Die Plattform gehörte zu den größten Residential-Proxy-Diensten, die Bedrohungsakteuren zur Verfügung standen.
Google schützt Android-Nutzer
Google setzte Play Protect ein, um die Auswirkungen des Botnetzes einzudämmen.
Das Unternehmen warnte betroffene Android-Nutzer automatisch und deaktivierte schädliche Anwendungen auf infizierten Geräten.
Darüber hinaus teilte Google technische Informationen über die Software Development Kits (SDKs) von NetNut sowie dessen Command-and-Control-Infrastruktur mit Strafverfolgungsbehörden, Cybersicherheitsforschern und Plattformanbietern.
Zerschlagung könnte den gesamten Proxy-Markt beeinflussen
Google geht davon aus, dass die Aktion weitreichende Auswirkungen haben wird und nicht nur NetNut betrifft.
Nach Angaben des Unternehmens betrieb NetNut ein umfangreiches Reseller-Programm, das es anderen Proxy-Anbietern ermöglichte, die Infrastruktur unter eigener Marke anzubieten.
Sicherheitsforscher erklären, dass viele Residential-Proxy-Dienste Kapazitäten untereinander kaufen und weiterverkaufen. Deshalb könnte die Zerschlagung eines der größten Netzwerke der Branche auch zahlreiche andere Proxy-Dienste treffen, die auf dieselbe Infrastruktur angewiesen sind.
Die Aktion folgt auf Googles frühere Zerschlagung des Residential-Proxy-Botnetzes IPIDEA und ist Teil der umfassenderen Strategie des Unternehmens, groß angelegte Residential-Proxy-Netzwerke dauerhaft auszuschalten.


0 Kommentare zu „NetNut-Proxy-Netzwerk zerschlagen: Google kappt Verbindung zu zwei Millionen infizierten Geräten“