Google zegt dat het een van ‘s werelds grootste kwaadaardige residentiële proxynetwerken aanzienlijk heeft verstoord na samenwerking met de FBI en industriële partners om infrastructuur die gekoppeld is aan NetNut, een dienst die naar verluidt afhankelijk was van meer dan twee miljoen gecompromitteerde internetverbonden apparaten, te ontmantelen.
De operatie was gericht op NetNut, ook bekend als Popa, een residentieel proxynetwerk dat internetverkeer via geïnfecteerde thuisapparaten leidde, waardoor cybercriminelen en spionagegroepen kwaadaardige activiteiten konden verbergen achter legitieme residentiële IP-adressen. Google schat dat het netwerk wereldwijd minstens twee miljoen apparaten beheert, waaronder smart-tv’s, streamingboxen en andere internetverbonden consumentenhardware.
Volgens Google’s Threat Intelligence Group (GTIG) heeft het bedrijf Google-accounts en -diensten die door NetNuts command-and-control-infrastructuur worden gebruikt, technische inlichtingen gedeeld met wetshandhavings- en cybersecuritypartners, en Google Play Protect bijgewerkt om automatisch Android-apps met NetNut-softwareontwikkelingskits (SDK’s) te detecteren en uit te schakelen. Google gelooft dat deze acties de beschikbare apparaatpool van de operator met miljoenen hebben verminderd.
Residentiële proxydiensten hebben legitieme commerciële toepassingen, zoals lokale webtesten en marktonderzoek. Beveiligingsonderzoekers zeggen echter dat criminele operators deze netwerken steeds vaker misbruiken omdat verkeer afkomstig van residentiële IP-adressen minder waarschijnlijk wordt geblokkeerd dan verkeer van cloudproviders of datacenters.
Google zei dat het 316 verschillende cybercrime- en spionageclusters heeft waargenomen die vermoedelijke NetNut-exitnodes gebruikten in één week. Dreigingsactoren zouden vertrouwd zijn op het netwerk om command-and-control-communicatie te verbergen, wachtwoord-spray-aanvallen uit te voeren en toegang te krijgen tot gecompromitteerde systemen, terwijl ze hun werkelijke locaties verborgen.
Onderzoekers denken dat veel consumenten zonder het te beseffen deel van het netwerk zijn geworden. Sommige apparaten werden naar verluidt verkocht met al kwaadaardige software geïnstalleerd, terwijl andere geïnfecteerd raakten nadat gebruikers applicaties hadden gedownload met verborgen proxycomponenten. Zodra het was gecompromitteerd, stuurden de apparaten stilletjes internetverkeer door namens betalende klanten.
De FBI nam ook meerdere domeinen die met NetNut waren geassocieerd in beslag als onderdeel van de gecoördineerde operatie. Het moederbedrijf van NetNut, de Israëlische webdataprovider Alarum Technologies, erkende de inbeslagnames en zei samen te werken met de politie om misbruik van hun infrastructuur te onderzoeken.
Google waarschuwde dat de verstoring waarschijnlijk niet het bredere residentiële proxy-ecosysteem zal elimineren, omdat veel aanbieders resellerprogramma’s hebben die andere bedrijven in staat stellen dezelfde onderliggende infrastructuur te rebranden en te verkopen. Het bedrijf zei dat operators van wie de eigen botnets verzwakt zijn, vaak capaciteit kopen van concurrenten, waardoor het ecosysteem sterk onderling verbonden en veerkrachtig wordt.
De operatie bouwt voort op Google’s eerdere verstoring van het IPIDEA-residentiële proxynetwerk en weerspiegelt een bredere inspanning van technologiebedrijven en wetshandhavingsinstanties om infrastructuur te ontmantelen die cybercriminaliteit op grote schaal mogelijk maakt. Google zei dat het zal blijven monitoren hoe particuliere proxy-operators zich aanpassen naarmate de sector zich blijft ontwikkelen.
