O Google afirma ter interrompido significativamente uma das maiores redes proxy residenciais maliciosas do mundo após trabalhar com o FBI e parceiros da indústria para desmontar infraestrutura vinculada ao NetNut, um serviço que supostamente dependia de mais de dois milhões de dispositivos conectados à internet comprometidos.
A operação tinha como alvo a NetNut, também rastreada como Popa, uma rede proxy residencial que roteava o tráfego de internet por dispositivos domésticos infectados, permitindo que cibercriminosos e grupos de espionagem disfarçassem atividades maliciosas atrás de endereços IP residenciais legítimos. O Google estima que a rede controla pelo menos dois milhões de dispositivos em todo o mundo, incluindo smart TVs, caixas de streaming e outros equipamentos de consumo conectados à internet.
De acordo com o Threat Intelligence Group (GTIG) do Google, a empresa desativou contas e serviços do Google usados pela infraestrutura de comando e controle da NetNut, compartilhou inteligência técnica com parceiros de segurança e segurança cibernética, e atualizou o Google Play Protect para detectar e desativar automaticamente aplicativos Android contendo kits de desenvolvimento de software NetNut (SDKs). O Google acredita que essas ações reduziram o número de dispositivos disponíveis da operadora em milhões.
Serviços de proxy residencial têm usos comerciais legítimos, como testes web localizados e pesquisa de mercado. No entanto, pesquisadores de segurança afirmam que operadores criminosos abusam cada vez mais dessas redes porque o tráfego originado de endereços IP residenciais tem menos probabilidade de ser bloqueado do que o tráfego de provedores de nuvem ou data centers.
O Google disse ter observado 316 clusters distintos de crimes cibernéticos e espionagem usando nós de saída suspeitos da NetNut durante uma única semana. Agentes ameaçadores supostamente confiaram na rede para ocultar comunicações de comando e controle, realizar ataques de filtração de senhas e acessar sistemas comprometidos, mascarando suas verdadeiras localizações.
Os investigadores acreditam que muitos consumidores passaram a fazer parte da rede sem perceber. Alguns dispositivos teriam sido vendidos com software malicioso já instalado, enquanto outros foram infectados após usuários descarregar aplicativos contendo componentes proxy ocultos. Uma vez comprometidos, os dispositivos repassavam silenciosamente o tráfego de internet em nome dos clientes pagantes.
O FBI também apreendeu múltiplos domínios associados à NetNut como parte da operação coordenada. A empresa-mãe da NetNut, a provedora israelense de dados web Alarum Technologies, reconheceu as apreensões e disse que cooperaria com as autoridades para investigar qualquer uso indevido de sua infraestrutura.
O Google alertou que a interrupção dificilmente eliminará o ecossistema mais amplo de proxy residencial, pois muitos provedores operam programas de revenda que permitem que outras empresas rebatizem e vendam acesso à mesma infraestrutura subjacente. A empresa afirmou que operadores cujos botnets são enfraquecidos frequentemente compram capacidade de concorrentes, tornando o ecossistema altamente interconectado e resiliente.
A operação se baseia na disrupção anterior do Google na rede de proxy residencial IPIDEA e reflete um esforço mais amplo de empresas de tecnologia e agências de aplicação da lei para desmantelar infraestrutura que possibilita o cibercrime em larga escala. O Google afirmou que continuará monitorando como os operadores de proxy residenciais se adaptam à medida que o setor evolui.
