Google afferma di aver significativamente interrotto una delle più grandi reti proxy residenziali dannose al mondo dopo aver collaborato con l’FBI e partner industriali per smantellare infrastrutture legate a NetNut, un servizio che si sarebbe basato su oltre due milioni di dispositivi connessi a internet compromessi.
L’operazione ha preso di mira NetNut, identificata anch’essa come Popa, una rete proxy residenziale che instradava il traffico internet attraverso dispositivi domestici infetti, permettendo a cybercriminali e gruppi di spionaggio di mascherare attività malevole dietro indirizzi IP residenziali legittimi. Google stima che la rete controlli almeno due milioni di dispositivi in tutto il mondo, inclusi smart TV, decoder di streaming e altri dispositivi consumer connessi a internet.
Secondo il Threat Intelligence Group (GTIG) di Google, l’azienda ha disabilitato gli account e i servizi Google utilizzati dall’infrastruttura di comando e controllo di NetNut, ha condiviso informazioni tecniche con le forze dell’ordine e i partner della cybersecurity, e ha aggiornato Google Play Protect per rilevare e disabilitare automaticamente le app Android contenenti kit di sviluppo software NetNut (SDK). Google ritiene che queste azioni abbiano ridotto di milioni il pool di dispositivi disponibili dell’operatore.
I servizi di proxy residenziale hanno usi commerciali legittimi, come test web locali e ricerche di mercato. Tuttavia, i ricercatori di sicurezza affermano che gli operatori criminali abusano sempre più di queste reti perché il traffico proveniente da indirizzi IP residenziali è meno probabile di essere bloccato rispetto al traffico proveniente da fornitori cloud o data center.
Google ha dichiarato di aver osservato 316 distinti cluster di crimini informatici e spionaggio che utilizzavano sospetti nodi di uscita NetNut durante una sola settimana. Gli attori pericolosi avrebbero fatto affidamento sulla rete per nascondere le comunicazioni di comando e controllo, condurre attacchi di password spray e accedere a sistemi compromessi, mascherando le loro vere posizioni.
Gli investigatori ritengono che molti consumatori siano entrati a far parte della rete senza rendersene conto. Alcuni dispositivi sarebbero stati venduti con software malevolo già installato, mentre altri sono stati infettati dopo che gli utenti hanno scaricato applicazioni contenenti componenti proxy nascosti. Una volta compromessi, i dispositivi inolciavano silenziosamente il traffico internet per conto dei clienti paganti.
L’FBI ha inoltre sequestrato più domini associati a NetNut come parte dell’operazione coordinata. La società madre di NetNut, il fornitore israeliano di dati web Alarum Technologies, ha riconosciuto i sequestri e ha dichiarato che collaborerà con le forze dell’ordine per indagare su eventuali abusi della propria infrastruttura.
Google ha avvertito che la disazione difficilmente eliminerà l’ecosistema più ampio dei proxy residenziali, poiché molti fornitori gestiscono programmi di rivendita che permettono ad altre aziende di rebranding e vendere l’accesso alla stessa infrastruttura sottostante. L’azienda ha affermato che gli operatori le cui botnet sono indebolite spesso acquistano capacità dai concorrenti, rendendo l’ecosistema altamente interconnesso e resiliente.
L’operazione si basa sulla precedente interruzione della rete proxy residenziale IPIDEA da parte di Google e riflette uno sforzo più ampio da parte delle aziende tecnologiche e delle forze dell’ordine per smantellare infrastrutture che permettono il cybercrimine su larga scala. Google ha dichiarato che continuerà a monitorare come gli operatori di proxy residenziali si adattino man mano che il settore evolve.
