Google affirme avoir significativement perturbé l’un des plus grands réseaux de proxies résidentiels malveillants au monde après avoir collaboré avec le FBI et des partenaires industriels pour démanteler l’infrastructure liée à NetNut, un service qui aurait dépendu de plus de deux millions d’appareils connectés à Internet compromis.
L’opération visait NetNut, également localisé sous le nom de Popa, un réseau proxy résidentiel qui acheminait le trafic Internet via des appareils domestiques infectés, permettant aux cybercriminels et groupes d’espionnage de dissimuler des activités malveillantes derrière des adresses IP résidentielles légitimes. Google estime que le réseau contrôle au moins deux millions d’appareils dans le monde, y compris les smart TV, les boîtiers de streaming et d’autres matériels grand public connectés à Internet.
Selon le Threat Intelligence Group (GTIG) de Google, l’entreprise a désactivé les comptes et services Google utilisés par l’infrastructure de commandement et contrôle de NetNut, partagé des renseignements techniques avec les forces de l’ordre et les partenaires en cybersécurité, et mis à jour Google Play Protect pour détecter et désactiver automatiquement les applications Android contenant des kits de développement logiciel NetNut (SDK). Google estime que ces actions ont réduit le pool d’appareils disponibles de l’opérateur de millions de personnes.
Les services de proxy résidentiel ont des usages commerciaux légitimes, tels que les tests web localisés et les études de marché. Cependant, les chercheurs en sécurité affirment que les opérateurs criminels abusent de plus en plus de ces réseaux car le trafic provenant d’adresses IP résidentielles est moins susceptible d’être bloqué que celui des fournisseurs cloud ou des centres de données.
Google a indiqué avoir observé 316 clusters distincts de cybercriminalité et d’espionnage utilisant des nœuds de sortie NetNut suspectés au cours d’une seule semaine. Les acteurs malveillants auraient compté sur le réseau pour dissimuler les communications de commandement et de contrôle, mener des attaques de diffusion de mots de passe et accéder à des systèmes compromis tout en masquant leur véritable emplacement.
Les enquêteurs estiment que de nombreux consommateurs sont devenus membres du réseau sans s’en rendre compte. Certains appareils auraient été vendus avec des logiciels malveillants déjà installés, tandis que d’autres ont été infectés après que les utilisateurs aient téléchargé des applications contenant des composants proxy cachés. Une fois compromis, les appareils relayaient discrètement le trafic internet au nom des clients payants.
Le FBI a également saisi plusieurs domaines associés à NetNut dans le cadre de l’opération coordonnée. La société mère de NetNut, le fournisseur israélien de données web Alarum Technologies, a reconnu les saisies et a déclaré qu’elle coopérerait avec les forces de l’ordre pour enquêter sur toute mauvaise utilisation de son infrastructure.
Google a averti que cette perturbation est peu susceptible d’éliminer l’écosystème plus large des proxy résidentiels, car de nombreux fournisseurs proposent des programmes de revente permettant à d’autres entreprises de se rebrander et de vendre l’accès à la même infrastructure sous-jacente. La société a indiqué que les opérateurs dont les botnets sont affaiblis achètent souvent de la capacité à des concurrents, rendant l’écosystème très interconnecté et résilient.
Cette opération s’appuie sur la perturbation antérieure du réseau de proxy résidentiel IPIDEA par Google et reflète un effort plus large des entreprises technologiques et des forces de l’ordre pour démanteler les infrastructures permettant la cybercriminalité à grande échelle. Google a déclaré qu’il continuerait de surveiller l’adaptation des opérateurs de proxies résidentielles à mesure que l’industrie évolue.