Google og samarbeidspartnerne har slått ut NetNut-proxynettverket, en av verdens største leverandører av boligbaserte proxytjenester, og kuttet tilgangen til anslagsvis to millioner kompromitterte Android-enheter. Aksjonen rettet seg mot en infrastruktur som cyberkriminelle og spionasjegrupper brukte for å skjule ondsinnet aktivitet bak vanlige internettforbindelser i private hjem.
Google retter innsatsen mot et enormt boligbasert proxynettverk
Google Threat Intelligence Group (GTIG) opplyser at NetNut, også kjent som Popa, kontrollerte minst to millioner infiserte enheter verden over.
Botnettet baserte seg hovedsakelig på kompromitterte Android-enheter, blant annet smart-TV-er, strømmeenheter og annet internett-tilkoblet forbrukerelektronikk.
Ifølge GTIG ble mange enheter infisert gjennom trojaniserte apper eller skadevare som var pakket sammen med programvare før enhetene nådde forbrukerne. Enkelte infeksjoner kom også fra botnett som Badbox 2.0, som installerte proxytillegg på sårbare enheter.
Slik fungerte NetNut-proxynettverket
Boligbaserte proxynettverk gjør det mulig for angripere å sende internetttrafikk gjennom kompromitterte enheter i private hjem.
I stedet for å bruke mistenkelige servere skjuler trusselaktørene seg bak legitime IP-adresser fra vanlige husholdninger. Dette gjør det vanskeligere å oppdage dem mens de gjennomfører cyberangrep.
Ofrene er ofte ikke klar over at enhetene deres videresender ondsinnet trafikk. Internettleverandører og nettjenester kan imidlertid etter hvert merke eller blokkere de infiserte enhetene på grunn av den mistenkelige aktiviteten.
FBI og Google koordinerer global aksjon
Aksjonen ble gjennomført i samarbeid mellom Google, FBI, Lumen Technologies, The Shadowserver Foundation og flere andre bransjepartnere.
Som en del av operasjonen beslagla FBI domenene som NetNut-proxynettverket brukte, blant annet netnut.com.
Google deaktiverte også kontoene og tjenestene som NetNut-operatørene brukte til å administrere botnettets command-and-control-infrastruktur (C2). Selskapet opplyste at tiltaket blokkerte tilgangen til kritiske backend-systemer som drev nettverket.
Hundrevis av trusselgrupper brukte NetNut
GTIG observerte 316 ulike trusselklynger som benyttet mistenkte NetNut-utgangsnoder i løpet av én uke forrige måned.
Forskerne opplyser at både cyberkriminelle og spionasjegrupper brukte tjenesten til å få tilgang til egen infrastruktur, utføre password spraying-angrep og nå offernettverk uten å avsløre sin egentlige plassering.
Plattformen regnes som en av de største boligbaserte proxytjenestene som var tilgjengelige for trusselaktører.
Google beskytter Android-brukere
Google brukte Play Protect for å redusere konsekvensene av botnettet.
Selskapet varslet automatisk berørte Android-brukere og deaktiverte de ondsinnede appene som kjørte på infiserte enheter.
Google delte også teknisk informasjon om NetNuts programvareutviklingssett (SDK-er) og command-and-control-infrastruktur med politimyndigheter, cybersikkerhetsforskere og plattformleverandører.
Aksjonen kan påvirke hele proxymarkedet
Google mener operasjonen vil få konsekvenser langt utover NetNut.
Ifølge selskapet drev NetNut et omfattende forhandlerprogram som gjorde det mulig for andre proxyleverandører å tilby infrastrukturen under egne merkevarer.
Sikkerhetsforskere peker på at mange boligbaserte proxytjenester kjøper og videreselger kapasitet fra hverandre. Derfor kan nedstengningen av et av bransjens største nettverk få ringvirkninger for flere proxytjenester som er avhengige av den samme infrastrukturen.
Aksjonen følger Googles tidligere nedstengning av det boligbaserte proxybotnettet IPIDEA og er en del av selskapets bredere innsats for å avvikle store boligbaserte proxynettverk.


0 responses to “NetNut-proxynettverk slått ut etter at Google kuttet tilgangen til to millioner infiserte enheter”