Google og virksomhedens samarbejdspartnere har slået NetNut-proxynetværket ud, som er en af verdens største udbydere af boligbaserede proxytjenester, og afbrudt adgangen til anslået to millioner kompromitterede Android-enheder. Operationen ramte en infrastruktur, som cyberkriminelle og spionagegrupper brugte til at skjule ondsindet aktivitet bag almindelige internetforbindelser i private hjem.
Google går efter et enormt boligbaseret proxynetværk
Google Threat Intelligence Group (GTIG) oplyser, at NetNut, også kendt som Popa, kontrollerede mindst to millioner inficerede enheder på verdensplan.
Botnettet byggede primært på kompromitterede Android-enheder, herunder smart-tv’er, streamingbokse og andet internetforbundet forbrugerelektronik.
Ifølge GTIG blev mange enheder inficeret gennem trojaniserede apps eller malware, som var pakket sammen med software, før enhederne nåede frem til forbrugerne. Nogle infektioner stammede også fra botnets som Badbox 2.0, der installerede proxy-plugins på sårbare enheder.
Sådan fungerede NetNut-proxynetværket
Boligbaserede proxynetværk gør det muligt for angribere at sende internettrafik gennem kompromitterede enheder i private hjem.
I stedet for at benytte mistænkelige servere skjuler trusselsaktører sig bag legitime IP-adresser fra private husstande. Det gør det vanskeligere at opdage deres aktivitet, mens de udfører cyberangreb.
Ofrene er ofte ikke klar over, at deres enheder videresender ondsindet trafik. Internetudbydere og onlinetjenester kan dog med tiden markere eller blokere de inficerede enheder på grund af den mistænkelige aktivitet.
FBI og Google koordinerer global indsats
Nedlukningen blev gennemført i samarbejde mellem Google, FBI, Lumen Technologies, The Shadowserver Foundation og flere andre branchepartnere.
Som en del af operationen beslaglagde FBI de domæner, som NetNut-proxynetværket benyttede, herunder netnut.com.
Google deaktiverede desuden de konti og tjenester, som NetNut-operatørerne brugte til at administrere botnettets command-and-control-infrastruktur (C2). Virksomheden oplyste, at indsatsen afskar adgangen til de kritiske backend-systemer, som drev netværket.
Hundredvis af trusselsgrupper brugte NetNut
GTIG observerede 316 forskellige trusselsklynger, som benyttede mistænkte NetNut-udgangsnoder i løbet af én uge sidste måned.
Forskerne oplyser, at både cyberkriminelle og spionagegrupper brugte tjenesten til at få adgang til deres egen infrastruktur, udføre password spraying-angreb og nå ind i offernetværk uden at afsløre deres egentlige placering.
Platformen var blandt de største boligbaserede proxytjenester, som trusselsaktører havde adgang til.
Google beskytter Android-brugere
Google brugte Play Protect til at begrænse botnettets påvirkning.
Virksomheden advarede automatisk berørte Android-brugere og deaktiverede de skadelige apps, der kørte på de inficerede enheder.
Google delte desuden tekniske oplysninger om NetNuts softwareudviklingssæt (SDK’er) og command-and-control-infrastruktur med retshåndhævende myndigheder, cybersikkerhedsforskere og platformudbydere.
Nedlukningen kan påvirke hele proxymarkedet
Google vurderer, at operationen får konsekvenser langt ud over NetNut.
Ifølge virksomheden drev NetNut et omfattende forhandlerprogram, som gjorde det muligt for andre proxyudbydere at sælge infrastrukturen under deres egne varemærker.
Sikkerhedsforskere peger på, at mange boligbaserede proxytjenester køber og videresælger kapacitet fra hinanden. Derfor kan nedlukningen af et af branchens største netværk få konsekvenser for flere proxytjenester, som er afhængige af den samme infrastruktur.
Operationen følger Googles tidligere nedlukning af det boligbaserede proxybotnet IPIDEA og er en del af virksomhedens bredere indsats for at nedbryde store boligbaserede proxynetværk.


0 svar til “NetNut-proxynetværk slået ud, efter at Google afbrød adgangen til to millioner inficerede enheder”