Google uppger att företaget har slagit ut stora delar av NetNut-botnätet, ett omfattande nätverk av bostadsanslutna proxyservrar som enligt bolaget användes av cyberkriminella och statligt stödda spiongrupper för att dölja skadlig aktivitet på internet. Tillsammans med FBI, Lumen Technologies och flera andra samarbetspartner riktade Google in sig på infrastrukturen som styrde nätverket.
Företaget uppskattar att insatsen påverkade ett botnät med omkring 2 miljoner internetanslutna enheter.
Enligt Google är insatsen ännu ett viktigt steg för att försvaga den snabbt växande marknaden för bostadsbaserade proxytjänster som används vid cyberattacker.
Google slog mot NetNuts kommandoinfrastruktur
Google Threat Intelligence Group (GTIG) presenterade insatsen på torsdagen och meddelade att företaget stängde av Google-konton och tjänster som användes för att hantera NetNuts kommando- och kontrollinfrastruktur.
Google delade också teknisk information om NetNuts programutvecklingspaket (SDK:er) och bakomliggande system med brottsbekämpande myndigheter, teknikföretag och cybersäkerhetsforskare för att stödja den fortsatta utredningen.
Den senaste insatsen bygger vidare på Googles nedstängning av proxynätverket IPIDEA tidigare i år.
Under en enda vecka i juni identifierade GTIG 316 separata hotgrupper som använde misstänkta NetNut-noder. Bland dessa fanns både ekonomiskt motiverade cyberkriminella och statligt stödda spiongrupper.
Miljontals enheter drev proxynätverket
Google bedömer att NetNut byggde på omkring 2 miljoner enheter i hem världen över.
Genom att stänga av åtkomsten till Googles tjänster säger företaget att man kraftigt minskade antalet enheter som proxyoperatören kunde använda och samtidigt störde verksamheten.
Google varnar också för att NetNuts infrastruktur sträcker sig långt utanför det egna varumärket.
Tjänsten erbjuder ett återförsäljarprogram där kunder kan sälja vidare nätverket under eget namn. Det innebär att flera leverantörer av bostadsbaserade proxytjänster i själva verket kan använda samma infrastruktur samtidigt som de framstår som oberoende företag.
Google räknar därför med att insatsen påverkar ett stort antal tjänster inom det bredare ekosystemet för bostadsbaserade proxyer.
Därför utgör bostadsbaserade proxybotnät ett säkerhetshot
Bostadsbaserade proxytjänster dirigerar internettrafik via vanliga internetanslutningar i hem i stället för genom traditionella datacenter.
Cyberkriminella använder dessa nätverk för att dölja trafikens verkliga ursprung, vilket gör att attacker ser ut att komma från legitima IP-adresser hos privatpersoner.
Enligt Google bygger operatörerna ofta ut nätverken genom att lägga in proxyprogramvara i mobilappar eller internetanslutna konsumentenheter.
I vissa fall installerar användare appar med dold proxykod utan att känna till det. I andra fall levereras enheter med skadlig kod redan installerad innan de säljs till konsumenter.
GTIG uppger att angripare använde NetNut för att dölja sina verkliga platser vid lösenordsspridningsattacker och när de kommunicerade med sin kommando- och kontrollinfrastruktur.
Forskarna kopplade också delar av botnätet till flera andra skadeprogramskampanjer, däribland det tidigare nedstängda BadBox 2.0, som riktade in sig på billiga Android-enheter och annan konsumenthårdvara.
Google varnar för att marknaden fortsätter växa
Trots att myndigheter och teknikföretag fortsätter att slå mot stora proxynätverk anser Google att marknaden för bostadsbaserade proxytjänster växer snabbt.
Företaget uppger att NetNut ofta spreds via SDK:er som byggdes in i enheter som smart-tv-apparater och streamingboxar. Offentliga rapporter har dessutom kopplat verksamheten till Mirai-baserade DDoS-botnät.
Google uppmanar användare att undvika appar som erbjuder betalning i utbyte mot att dela oanvänd internetbandbredd, eftersom sådana erbjudanden ofta används för att sprida proxybaserad skadlig kod.
Företaget rekommenderar också att endast ladda ner appar från betrodda appbutiker, noggrant granska behörigheter som VPN- och proxyappar begär samt hålla säkerhetsfunktioner som Google Play Protect aktiverade.
Google bekräftar att Play Protect redan blockerar kända appar som innehåller NetNuts SDK:er och kommer att fortsätta stoppa framtida installationsförsök när nya hot upptäcks.


0 svar till ”Google och FBI slår ut NetNut-botnät byggt på miljontals kapade enheter”