Google afirma que ha interrumpido significativamente una de las mayores redes de proxies residenciales maliciosas del mundo tras colaborar con el FBI y socios industriales para desmantelar la infraestructura vinculada a NetNut, un servicio que supuestamente dependía de más de dos millones de dispositivos conectados a internet comprometidos.
La operación tenía como objetivo NetNut, también rastreado como Popa, una red proxy residencial que enrutaba el tráfico de internet a través de dispositivos domésticos infectados, permitiendo a ciberdelincuentes y grupos de espionaje disfrazar actividades maliciosas detrás de direcciones IP residenciales legítimas. Google estima que la red controla al menos dos millones de dispositivos en todo el mundo, incluyendo televisores inteligentes, decodificadores de streaming y otro hardware de consumo conectado a internet.
Según el Threat Intelligence Group (GTIG) de Google, la empresa deshabilitó las cuentas y servicios de Google utilizados por la infraestructura de mando y control de NetNut, compartió inteligencia técnica con socios de las fuerzas del orden y de ciberseguridad, y actualizó Google Play Protect para detectar y desactivar automáticamente las aplicaciones de Android que contienen kits de desarrollo de software NetNut (SDKs). Google cree que estas acciones redujeron el número de dispositivos disponibles del operador en millones.
Los servicios de proxy residencial tienen usos comerciales legítimos, como pruebas web localizadas e investigaciones de mercado. Sin embargo, los investigadores de seguridad afirman que los operadores criminales abusan cada vez más de estas redes porque el tráfico originado en direcciones IP residenciales es menos probable que el tráfico procedente de proveedores de nube o centros de datos.
Google afirmó haber observado 316 clústeres distintos de ciberdelitos y espionaje utilizando nodos sospechosos de salida de NetNut durante una sola semana. Supuestamente, los actores malintencionados confiaron en la red para ocultar comunicaciones de mando y control, realizar ataques de filtración de contraseñas y acceder a sistemas comprometidos mientras ocultaban sus ubicaciones reales.
Los investigadores creen que muchos consumidores pasaron a formar parte de la red sin darse cuenta. Algunos dispositivos se vendieron supuestamente con software malicioso ya instalado, mientras que otros se infectaron después de que los usuarios descargaran aplicaciones que contenían componentes proxy ocultos. Una vez comprometidos, los dispositivos retransmitían silenciosamente el tráfico de internet en nombre de los clientes que pagaban.
El FBI también confiscó múltiples dominios asociados con NetNut como parte de la operación coordinada. La empresa matriz de NetNut, el proveedor israelí de datos web Alarum Technologies, reconoció las incautaciones y dijo que cooperaría con las fuerzas del orden para investigar cualquier uso indebido de su infraestructura.
Google advirtió que la interrupción probablemente no eliminará el ecosistema más amplio de proxies residenciales, ya que muchos proveedores operan programas de reventa que permiten a otras compañías rebrandear y vender acceso a la misma infraestructura subyacente. La empresa afirmó que los operadores cuyos propios botnets se debilitan suelen comprar capacidad a la competencia, haciendo que el ecosistema sea altamente interconectado y resiliente.
La operación se basa en la anterior interrupción de Google en la red de proxy residencial IPIDEA y refleja un esfuerzo más amplio de las empresas tecnológicas y las agencias de seguridad para desmantelar infraestructuras que permiten el cibercrimen a gran escala. Google ha dicho que seguirá monitorizando cómo se adaptan los operadores de proxies residenciales a medida que la industria siga evolucionando.