De FBI heeft het domein van NetNut, een aanbieder van residentiële proxy’s, in beslag genomen nadat bleek dat de dienst werd misbruikt door het Popa-botnet.
De Federal Bureau of Investigation (FBI) heeft hard ingegrepen tegen honderden domeinen die gekoppeld zijn aan NetNut, een residentiële proxyservice van het Israëlische bedrijf Alarum Technologies. De actie volgde nadat meerdere beveiligingsbedrijven een verband ontdekten tussen NetNut en het Popa-botnet, dat inmiddels meer dan twee miljoen apparaten heeft geïnfecteerd via kwaadaardige software.
Na de actie van de FBI werd de homepage van NetNut vervangen door een inbeslagnamebericht van de FBI en de afdeling Criminal Investigation van de Internal Revenue Service. Op het bericht staan ook de logo’s van Google, Lumen en Shadowserver, die de FBI hielpen bij het uitschakelen van domeinen die aan het Popa-botnet waren gekoppeld.
Volgens de Google Threat Intelligence Group (GTIG) werd het NetNut-proxynetwerk doorverkocht en onder een ander label aangeboden door andere proxyproviders. Cybercriminelen gebruikten deze diensten om de herkomst van hun schadelijke verkeer te verbergen.
GTIG meldde dat kwaadwillenden NetNut gebruikten om hun IP-adressen te verbergen bij het binnendringen van slachtofferomgevingen, het benaderen van hun eigen infrastructuur of het uitvoeren van password-sprayaanvallen. Google zei ook dat wanneer een consumentenapparaat een exitnode wordt, ongeautoriseerd netwerkverkeer daar viaheen loopt. Daardoor kunnen kwaadwillenden toegang krijgen tot andere privéapparaten binnen hetzelfde thuisnetwerk en deze blootstellen aan internetdreigingen.
Google hielp de FBI door Google-accounts en -diensten uit te schakelen die NetNut gebruikte voor de command-and-control van malware. Daarnaast deelde het technische informatie over de software development kits en de back-endinfrastructuur van NetNut. Google schakelt ook apps uit waarin de SDK’s van NetNut zijn opgenomen.
Alarum Technologies, het beursgenoteerde bedrijf achter NetNut, laat weten op de hoogte te zijn van de inbeslagname. Het bedrijf zegt samen te werken met onderzoekers om ervoor te zorgen dat degenen die misbruik maakten van de infrastructuur “grondig worden onderzocht en dat de verantwoordelijken ter verantwoording worden geroepen”.
Een belangrijke manier waarop het Popa-botnet apparaten kan besmetten, is via onbetrouwbare, merkloze streamingboxen voor tv. Google adviseert daarom te kiezen voor bekende merken van gerenommeerde fabrikanten en goed op te letten welke apps je installeert. Ook raadt het bedrijf aan te controleren of de tv-box de officiële Android TV-versie gebruikt en Play Protect-gecertificeerd is.
Bron: KrebsOnSecurity





