Google och dess samarbetspartner har slagit ut NetNut-proxynätverket, en av världens största leverantörer av bostadsbaserade proxytjänster, och därmed kapat åtkomsten till uppskattningsvis två miljoner komprometterade Android-enheter. Insatsen riktade sig mot en infrastruktur som cyberkriminella och spionagegrupper använde för att dölja skadlig aktivitet bakom vanliga internetanslutningar i hemmet.

Google riktar in sig på ett enormt bostadsbaserat proxynätverk

Google Threat Intelligence Group (GTIG) uppger att NetNut, även känt som Popa, kontrollerade minst två miljoner infekterade enheter världen över.

Botnätet byggde främst på komprometterade Android-enheter, däribland smart-tv-apparater, streamingboxar och annan internetansluten hemelektronik.

Enligt GTIG infekterades många enheter genom trojaniserade appar eller skadlig kod som paketerats tillsammans med programvara innan enheterna nådde konsumenterna. Vissa infektioner kom även från botnät som Badbox 2.0, vilka installerade proxyplugin på sårbara enheter.

Så fungerade NetNut-proxynätverket

Bostadsbaserade proxynätverk gör det möjligt för angripare att dirigera internettrafik genom komprometterade enheter i vanliga hem.

I stället för att använda misstänkta servrar gömmer sig hotaktörer bakom legitima IP-adresser från privatpersoner. Det gör det svårare att upptäcka deras aktivitet samtidigt som de genomför cyberattacker.

Offren märker ofta inte att deras enheter vidarebefordrar skadlig trafik. Internetleverantörer och onlinetjänster kan dock så småningom identifiera eller blockera de infekterade enheterna på grund av den misstänkta trafiken.

FBI och Google genomför gemensam insats

Insatsen genomfördes i samarbete mellan Google, FBI, Lumen Technologies, The Shadowserver Foundation och flera andra branschaktörer.

Som en del av operationen beslagtog FBI flera domäner som användes av NetNut-proxynätverket, däribland netnut.com.

Google stängde dessutom av de konton och tjänster som NetNuts operatörer använde för att hantera botnätets command-and-control-infrastruktur (C2). Enligt företaget blockerade åtgärden åtkomsten till kritiska backend-system som drev nätverket.

Hundratals hotgrupper använde NetNut

GTIG observerade 316 olika hotkluster som använde misstänkta NetNut-noder under en enda vecka förra månaden.

Forskarna uppger att både cyberkriminella och spionagegrupper använde tjänsten för att nå sin egen infrastruktur, genomföra password spraying-attacker och komma åt offrets nätverk utan att avslöja sin verkliga plats.

Plattformen räknades som en av de största bostadsbaserade proxytjänsterna som fanns tillgängliga för hotaktörer.

Google skyddar Android-användare

Google använde Play Protect för att begränsa botnätets påverkan.

Företaget varnade automatiskt berörda Android-användare och inaktiverade skadliga appar på infekterade enheter.

Google delade även teknisk information om NetNuts programvaruutvecklingspaket (SDK:er) och command-and-control-infrastruktur med brottsbekämpande myndigheter, cybersäkerhetsforskare och andra plattformsleverantörer.

Insatsen kan påverka hela proxymarknaden

Google bedömer att insatsen kommer att få konsekvenser långt utanför NetNut.

Enligt företaget drev NetNut ett omfattande återförsäljarprogram som gjorde det möjligt för andra proxyleverantörer att sälja tjänsten under eget varumärke.

Säkerhetsforskare uppger att många bostadsbaserade proxytjänster köper och säljer kapacitet mellan varandra. Därför kan en nedstängning av ett av branschens största nätverk påverka flera andra proxytjänster som är beroende av samma infrastruktur.

Insatsen följer Googles tidigare nedstängning av det bostadsbaserade proxybotnätet IPIDEA och är en del av företagets bredare arbete med att slå ut storskaliga bostadsbaserade proxynätverk.


0 svar till ”NetNut-proxynätverk slås ut när Google kapar åtkomsten till två miljoner infekterade enheter”