Uma operação conjunta com participação do Google desarticulou a NetNut, uma rede de proxies residenciais que dava acesso a milhões de dispositivos Android comprometidos, incluindo smart TVs e aparelhos de streaming. Também conhecida como Popa, a botnet da NetNut permitia que cibercriminosos e grupos de espionagem se escondessem atrás de endereços legítimos de internet residencial ao lançar ataques. Segundo o Google Threat Intelligence Group (GTIG), a botnet é estimada em pelo menos 2 milhões de dispositivos comprometidos.
As redes de proxy residencial funcionam comprometendo sistemas domésticos e vendendo o acesso a eles, o que permite aos threat actors ocultar tráfego malicioso ao roteá-lo pelos endereços IP residenciais das vítimas. Em geral, os dispositivos domésticos entram para a botnet depois de serem infectados com malware que já vem pré-instalado antes da compra ou é adicionado por meio de aplicações maliciosas ou trojanizadas baixadas pelo usuário. Como resultado, os dispositivos de consumo infectados passam a atuar como nós de saída da botnet, encaminhando tráfego de rede não autorizado por seus endereços IP residenciais. Isso pode fazer com que esses aparelhos sejam sinalizados como suspeitos ou bloqueados por provedores de internet ou serviços online.
A desarticulação da botnet NetNut envolveu um esforço coordenado que reuniu Google, FBI, Lumen Technologies, The Shadowserver Foundation e outros parceiros do setor. O serviço malicioso de proxy é considerado uma das maiores redes do mundo e é utilizado por centenas de threat actors. Ele opera com vários domínios, incluindo netnut.com, que foi derrubado pelo FBI. Mark Karayan, gerente de comunicação da Mandiant, confirmou que o domínio .com também era usado pela operação, além de outros domínios derrubados.
O GTIG afirmou que, em uma semana no mês passado, observou 316 clusters distintos de threat actors usando nós de saída suspeitos da NetNut, incluindo grupos de cibercrime e espionagem. Segundo os pesquisadores, os threat actors usaram a NetNut para acessar sua própria infraestrutura, realizar ataques de password spraying e alcançar ambientes de vítimas.
Por sua vez, o Google desativou contas e serviços em sua infraestrutura que os operadores da NetNut usavam para o comando e controle de malware (C2), bloqueando o acesso à infraestrutura crítica de backend. A empresa também protegeu os usuários ao alertá-los automaticamente e desativar aplicações infectadas por meio do Google Play Protect, o mecanismo de segurança integrado ao Android. Além disso, o Google compartilhou detalhes técnicos sobre os SDKs do software da NetNut e sobre a infraestrutura de C2 com provedores de plataforma, autoridades policiais e pesquisadores de cibersegurança.
O Google espera que a interrupção da NetNut tenha um impacto mais amplo no setor de proxies, já que a botnet tem um programa robusto de revenda que permite o white-label de sua rede, e muitos dos serviços populares de proxy residencial são alimentados pela NetNut. Karayan ressaltou que a interrupção de um serviço de proxy muitas vezes leva os operadores a comprar capacidade substituta de provedores concorrentes, transformando-os em revendedores. O setor de proxy é profundamente interconectado, com operadores comprando e revendendo continuamente a capacidade de botnet uns dos outros, e a NetNut estava entre as maiores e mais populares redes do mundo. A ação faz parte do compromisso do Google de desmantelar botnets de proxy residencial e ocorre após a interrupção da IPIDEA no início deste ano.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...