Google opplyser at selskapet har svekket NetNut-botnettet betydelig, et omfattende nettverk av boligbaserte proxyer som ifølge selskapet ble brukt av cyberkriminelle og statlig støttede spiongrupper til å skjule ondsinnet aktivitet på nettet. Sammen med FBI, Lumen Technologies og flere andre samarbeidspartnere rettet Google innsatsen mot infrastrukturen som kontrollerte nettverket.
Selskapet anslår at operasjonen rammet et botnett som omfattet rundt 2 millioner internettilkoblede enheter.
Ifølge Google er aksjonen nok et viktig skritt i arbeidet med å svekke det raskt voksende markedet for boligbaserte proxytjenester som brukes i cyberangrep.
Google slo til mot NetNuts kommandoinfrastruktur
Google Threat Intelligence Group (GTIG) kunngjorde operasjonen torsdag og opplyste at selskapet deaktiverte Google-kontoer og tjenester som ble brukt til å styre NetNuts kommando- og kontrollinfrastruktur.
Google delte også teknisk informasjon om NetNuts programvareutviklingssett (SDK-er) og bakenforliggende systemer med politi, teknologiselskaper og cybersikkerhetsforskere for å støtte den videre etterforskningen.
Den siste aksjonen bygger videre på Googles nedstenging av proxytjenesten IPIDEA tidligere i år.
I løpet av én uke i juni identifiserte GTIG 316 ulike trusselgrupper som brukte mistenkte NetNut-utgangsnoder. Blant disse var både økonomisk motiverte cyberkriminelle og statlig støttede spiongrupper.
Millioner av enheter drev proxynettverket
Google anslår at NetNut bygget på rundt 2 millioner enheter i private hjem over hele verden.
Ved å stenge tilgangen til Googles tjenester mener selskapet at det kraftig reduserte antallet enheter proxyoperatøren kunne benytte, samtidig som driften av nettverket ble betydelig svekket.
Google advarer også om at NetNuts infrastruktur strekker seg langt utover det egne varemerket.
Tjenesten tilbyr et forhandlerprogram der kundene kan selge tilgang til nettverket under sitt eget navn. Det betyr at flere leverandører av boligbaserte proxytjenester i realiteten kan benytte den samme infrastrukturen, samtidig som de fremstår som uavhengige selskaper.
Google forventer derfor at aksjonen vil påvirke en rekke tjenester i det bredere økosystemet for boligbaserte proxyer.
Derfor utgjør boligbaserte proxybotnett en sikkerhetsrisiko
Boligbaserte proxytjenester sender internettrafikk gjennom vanlige private internettforbindelser i stedet for tradisjonelle datasentre.
Cyberkriminelle bruker slike nettverk til å skjule hvor trafikken egentlig kommer fra, slik at angrepene ser ut til å stamme fra legitime IP-adresser hos privatpersoner.
Ifølge Google utvider operatørene ofte nettverkene ved å bygge proxyprogramvare inn i mobilapper eller internettilkoblede forbrukerenheter.
I noen tilfeller installerer brukere apper med skjult proxykode uten å være klar over det. I andre tilfeller leveres enheter med skadevare installert allerede før de blir solgt til forbrukere.
GTIG opplyser at trusselaktører brukte NetNut til å skjule den virkelige plasseringen sin under passordsprayangrep og ved kommunikasjon med kommando- og kontrollservere.
Forskerne knyttet også deler av botnettet til flere andre skadevarekampanjer, blant annet den tidligere stansede BadBox 2.0, som rettet seg mot rimelige Android-enheter og annen forbrukerelektronikk.
Google advarer om at markedet fortsetter å vokse
Selv om myndigheter og teknologiselskaper fortsetter å slå ned på store proxynettverk, mener Google at markedet for boligbaserte proxytjenester vokser raskt.
Selskapet opplyser at NetNut ofte ble spredt gjennom SDK-er som var integrert i enheter som smart-TV-er og strømmebokser. Offentlige rapporter har også knyttet operasjonen til Mirai-baserte DDoS-botnett.
Google oppfordrer brukere til å unngå apper som tilbyr betaling i bytte mot å dele ubrukt internettkapasitet, ettersom slike tilbud ofte fungerer som inngangsport for proxybasert skadevare.
Selskapet anbefaler også å laste ned apper kun fra pålitelige appbutikker, kontrollere hvilke tillatelser VPN- og proxyapper ber om, og sørge for at sikkerhetsfunksjoner som Google Play Protect er aktivert.
Google bekrefter at Play Protect allerede blokkerer kjente apper som inneholder NetNuts SDK-er, og at tjenesten vil fortsette å hindre nye installasjonsforsøk etter hvert som nye trusler oppdages.


0 responses to “Google og FBI slår ut NetNut-botnett bygget på millioner av kompromitterte enheter”