Google oplyser, at virksomheden har svækket NetNut-botnettet markant, et omfattende netværk af boligbaserede proxyer, som ifølge selskabet blev brugt af cyberkriminelle og statsligt støttede spiongrupper til at skjule ondsindet aktivitet på internettet. Sammen med FBI, Lumen Technologies og flere andre samarbejdspartnere rettede Google indsatsen mod den infrastruktur, der styrede netværket.

Virksomheden vurderer, at operationen ramte et botnet med omkring 2 millioner internetforbundne enheder.

Ifølge Google er aktionen endnu et vigtigt skridt i arbejdet med at svække det hurtigt voksende marked for boligbaserede proxytjenester, som anvendes til cyberangreb.

Google ramte NetNuts kommandoinfrastruktur

Google Threat Intelligence Group (GTIG) offentliggjorde operationen torsdag og oplyste, at virksomheden lukkede Google-konti og tjenester, som blev brugt til at styre NetNuts kommando- og kontrolinfrastruktur.

Google delte også tekniske oplysninger om NetNuts softwareudviklingssæt (SDK’er) og bagvedliggende systemer med retshåndhævende myndigheder, teknologivirksomheder og cybersikkerhedsforskere for at støtte den videre efterforskning.

Den seneste aktion bygger videre på Googles nedlukning af proxynetværket IPIDEA tidligere på året.

I løbet af én uge i juni identificerede GTIG 316 forskellige trusselsgrupper, der benyttede mistænkte NetNut-udgangsnoder. Blandt dem var både økonomisk motiverede cyberkriminelle og statsligt støttede spiongrupper.

Millioner af enheder drev proxynetværket

Google vurderer, at NetNut byggede på omkring 2 millioner enheder i private hjem verden over.

Ved at afskære adgangen til Googles tjenester mener virksomheden, at den reducerede antallet af enheder, som proxyoperatøren kunne benytte, betydeligt og samtidig forstyrrede driften af netværket.

Google advarer også om, at NetNuts infrastruktur rækker langt ud over virksomhedens eget brand.

Tjenesten tilbyder et forhandlerprogram, hvor kunder kan sælge adgangen til netværket under deres eget navn. Det betyder, at flere udbydere af boligbaserede proxytjenester i virkeligheden kan benytte den samme infrastruktur, selv om de fremstår som uafhængige virksomheder.

Google forventer derfor, at aktionen vil påvirke en lang række tjenester i det bredere økosystem for boligbaserede proxyer.

Derfor udgør boligbaserede proxybotnet en sikkerhedsrisiko

Boligbaserede proxytjenester sender internettrafik gennem almindelige private internetforbindelser i stedet for traditionelle datacentre.

Cyberkriminelle bruger disse netværk til at skjule den reelle oprindelse af deres trafik, så angrebene ser ud til at komme fra legitime IP-adresser hos almindelige brugere.

Ifølge Google udvider operatørerne ofte netværkene ved at indbygge proxysoftware i mobilapps eller internetforbundne forbrugerenheder.

I nogle tilfælde installerer brugere apps med skjult proxykode uden at være klar over det. I andre tilfælde leveres enheder med malware installeret allerede før salget til forbrugerne.

GTIG oplyser, at trusselsaktører brugte NetNut til at skjule deres reelle placering under password spraying-angreb og ved kommunikation med deres kommando- og kontrolinfrastruktur.

Forskerne har også knyttet dele af botnettet til flere andre malwarekampagner, herunder det tidligere nedlukkede BadBox 2.0, som gik efter billige Android-enheder og andet forbrugerudstyr.

Google advarer om, at markedet fortsætter med at vokse

Selv om myndigheder og teknologivirksomheder fortsætter med at lukke store proxynetværk, mener Google, at markedet for boligbaserede proxytjenester vokser hurtigt.

Virksomheden oplyser, at NetNut ofte blev spredt via SDK’er, som var indbygget i enheder som smart-tv’er og streamingbokse. Offentlige rapporter har desuden sat operationen i forbindelse med Mirai-baserede DDoS-botnet.

Google opfordrer brugere til at undgå apps, der tilbyder betaling for at dele ubrugt internetbåndbredde, da sådanne tilbud ofte fungerer som indgang til proxybaseret malware.

Virksomheden anbefaler også kun at hente apps fra pålidelige appbutikker, gennemgå de tilladelser, som VPN- og proxyapps anmoder om, og sørge for, at sikkerhedsfunktioner som Google Play Protect er aktiveret.

Google bekræfter, at Play Protect allerede blokerer kendte apps, der indeholder NetNuts SDK’er, og at tjenesten fortsat vil forhindre nye installationsforsøg, efterhånden som nye trusler opdages.


0 svar til “Google og FBI lukker NetNut-botnet bygget på millioner af kompromitterede enheder”