Google gibt an, eines der weltweit größten bösartigen Wohn-Proxy-Netzwerke erheblich gestört zu haben, nachdem es mit dem FBI und Industriepartnern zusammengearbeitet hatte, um die mit NetNut verbundene Infrastruktur zu demontieren – einem Dienst, der angeblich auf mehr als zwei Millionen kompromittierte, internetverbundene Geräte angewiesen war.

 

 

Die Operation richtete sich gegen NetNut, das auch als Popa verfolgt wird, ein Wohn-Proxy-Netzwerk, das Internetverkehr über infizierte Haushaltsgeräte leitete und es Cyberkriminellen und Spionagegruppen ermöglichte, bösartige Aktivitäten hinter legitimen Wohn-IP-Adressen zu tarnen. Google schätzt, dass das Netzwerk weltweit mindestens zwei Millionen Geräte kontrolliert, darunter Smart-TVs, Streaming-Boxen und andere internetverbundene Verbraucherhardware.

Laut Googles Threat Intelligence Group (GTIG) hat das Unternehmen Google-Konten und -Dienste deaktiviert, die von NetNuts Command-and-Control-Infrastruktur genutzt werden, technische Informationen mit Strafverfolgungs- und Cybersicherheitspartnern geteilt und Google Play Protect aktualisiert, um Android-Apps mit NetNut-Softwareentwicklungskits (SDKs) automatisch zu erkennen und zu deaktivieren. Google ist der Ansicht, dass diese Maßnahmen den verfügbaren Gerätepool des Betreibers um Millionen reduziert haben.

Wohnvollmachtdienste haben legitime kommerzielle Verwendungszwecke, wie lokale Webtests und Marktforschung. Sicherheitsforscher sagen jedoch, dass kriminelle Betreiber diese Netzwerke zunehmend missbrauchen, da Datenverkehr von privaten IP-Adressen seltener blockiert wird als der Datenverkehr von Cloud-Anbietern oder Rechenzentren.

Google gab an, 316 verschiedene Cyberkriminalitäts- und Spionagecluster mit mutmaßlichen NetNut-Ausgangsknoten in einer einzigen Woche beobachtet zu haben. Bedrohungsakteure sollen sich auf das Netzwerk verlassen haben, um Befehls- und Kontrollkommunikation zu verbergen, Passwort-Spray-Angriffe durchzuführen und auf kompromittierte Systeme zuzugreifen, während sie ihre wahren Standorte verschleierten.

Ermittler glauben, dass viele Verbraucher Teil des Netzwerks wurden, ohne es zu merken. Einige Geräte wurden Berichten zufolge bereits mit bereits installierter schädlicher Software verkauft, während andere infiziert wurden, nachdem Nutzer Anwendungen mit versteckten Proxy-Komponenten heruntergeladen hatten. Nach der Kompromittierung leiteten die Geräte den Internetverkehr leise im Namen zahlender Kunden weiter.

Das FBI beschlagnahmte im Rahmen der koordinierten Operation außerdem mehrere mit NetNut verbundene Domains. NetNuts Muttergesellschaft, der israelische Webdatenanbieter Alarum Technologies, räumte die Beschlagnahmungen zu und erklärte, mit den Strafverfolgungsbehörden zusammenzuarbeiten, um einen Missbrauch seiner Infrastruktur zu untersuchen.

Google warnte, dass die Disruption das breitere Wohn-Proxy-Ökosystem wahrscheinlich nicht beseitigen wird, da viele Anbieter Reseller-Programme betreiben, die es anderen Unternehmen ermöglichen, dieselbe zugrundeliegende Infrastruktur umzubranden und Zugang zu verkaufen. Das Unternehmen erklärte, dass Betreiber, deren eigene Botnette geschwächt sind, häufig Kapazitäten von Wettbewerbern kaufen, was das Ökosystem hoch vernetzt und widerstandsfähig macht.

Die Operation baut auf Googles früherer Störung des IPIDEA-Residential Proxy-Netzwerks auf und spiegelt eine umfassendere Bemühung von Technologieunternehmen und Strafverfolgungsbehörden wider, Infrastrukturen zu demontieren, die Cyberkriminalität in großem Umfang ermöglicht. Google erklärte, es werde weiterhin beobachten, wie sich Wohn-Proxy-Betreiber anpassen, während sich die Branche weiterentwickelt.

Hinterlasse eine Antwort