Новости

Крупнейшая сеть домашних прокси, работавшая на криминал и шпионаж, обезврежена

Прокси-сеть NetNut, вероятно, была основана публичной компанией, однако за видимостью законного бизнеса скрываются откровенно преступные проекты. В Google полагают, что им удалось сократить число инфицированных устройств «на миллионы», но до полной ликвидации ботнета еще очень далеко.

Корпорация Google совместно с ФБР, компанией Lumen и другими союзниками смогла хотя бы частично обезвредить одну из самых масштабных в мире криминальных сетей домашних прокси — NetNut.

Были заблокированы аккаунты в сервисах Google, которые операторы NetNut применяли в качестве управляющих серверов для контроля над вредоносным ПО.

Помимо этого, специалисты корпорации передали партнерам и правоохранительным органам техническую документацию об SDK NetNut и инфраструктуре администрирования ботнета. Защитная система Google Play Protect была доработана так, чтобы приложения, включающие данный SDK, автоматически блокировались и не могли быть установлены на конечные устройства.

В итоге, по оценкам Google, общее количество скомпрометированных гаджетов уменьшилось «на миллионы».

«Подобные сети формируются из различных взломанных сетевых устройств, чаще всего — домашних роутеров, умных телевизоров, камер видеонаблюдения и других аналогичных систем, — отмечает Никита Павлов, эксперт по кибербезопасности компании SEQ. — Обычно они применяются для перенаправления и сокрытия преступного трафика, независимо от его содержимого. Если, к примеру, через такую сеть проводится DDoS-атака, то именно адреса прокси-точек фиксируются как источник «мусорного» трафика. Владельцы взломанного устройства могут долгое время не подозревать о происходящем, пока не столкнутся с санкциями от провайдера или правоохранительных органов».

NetNut (также известная как Popa) входит в число крупнейших подобных сетей: в нее вовлечено не менее двух миллионов устройств по всему миру.

Как сообщают исследователи из Google Threat Intelligence Group, NetNut пополняет ботнет за счет распространения на криминальных форумах SDK для популярных домашних устройств, включая цифровые телевизоры и стриминговые приставки на Android. Специалисты GTIG также обнаружили компоненты плагинов NetNut для других масштабных ботнетов, например, Badbox 2.0.

В июне этого года эксперты GTIG выяснили, что сразу 316 различных кластеров угроз эксплуатировали предполагаемые выходные узлы NetNut; среди них были известные киберпреступные и кибершпионские группировки. Все они использовали прокси-сеть для маскировки своих IP-адресов при проникновении в чужие сетевые инфраструктуры.

Компания NetNut руководит партнерской программой для реселлеров, позволяя другим фирмам реализовывать доступ к своей сети под их собственными торговыми марками. Google с высокой долей уверенности утверждает, что множество популярных, на первый взгляд независимых, прокси-брендов на деле просто перепродают один и тот же ресурсный пул NetNut.

Google называет эту операцию «деградацией», а не полным уничтожением сети. Подобные сети нередко демонстрируют значительную устойчивость: их операторы начинают арендовать мощности у конкурентов, фактически превращаясь в их реселлеров. Для нанесения реального долгосрочного ущерба, по мнению Google, необходимо одновременно преследовать нескольких взаимосвязанных провайдеров.

Как сообщает издание The Hacker News со ссылкой на фирму Synthient, NetNut, по всей видимости, управляется публичной коммерческой компанией Alarum Technologies, чьи акции котируются на бирже NASDAQ.

В компании, разумеется, это опровергают, заявляя, что их программное обеспечение для организации совместного использования каналов связи (bandwidth sharing) основывается исключительно на добровольном согласии пользователей.

Однако, как отмечается в публикации Synthient, ни одно из 20 приложений, связанных с Alarum/NetNut, не запрашивает у пользователя такого согласия.

Конечным потребителям советуют избегать приложений, предлагающих «поделиться неиспользуемой пропускной способностью», даже если за это обещают платить. Также рекомендуется не покупать телекоммуникационное оборудование у малоизвестных брендов, так как велика вероятность, что оно уже поступит в ваш дом с предустановленными заражениями.

Роман Георгиев

Поделиться:

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Популярные новости