architect

A Google folytatja a rosszindulatú lakossági proxyhálózatok megzavarását.

Forrás: cloudblog.withgoogle.com 5 perc olvasás

Megosztás

A Google folytatja a rosszindulatú lakossági proxyhálózatok megzavarását.

Összefoglalót olvas. A teljes tartalom itt érhető el: cloudblog.withgoogle.com.

Háttér Ma, az FBI-val, a Lumen-nel és másokkal együttműködve a Google lépéseket tett a NetNut lakossági proxyhálózat, más néven Popa ellen. Ez a lépés kiegészíti a 2026 januárjában végrehajtott IPIDEA proxyhálózat felszámolását, és folytatása a Google céljának, hogy lebontsák a rosszindulatú lakossági proxyhálózatokat. Megtett intézkedések A zavarás részeként a következő lépéseket tettük: Letiltottuk a NetNut által a kártevő parancs- és vezérlőrendszer (C2) működtetésére használt Google-fiókokat és a kapcsolódó Google-szolgáltatásokat, amelyek közvetlenül sértik a Google Szolgáltatási Feltételeit és a Megengedett Használati Politika. Műszaki információkat osztottunk meg a NetNut szoftverfejlesztői készleteiről (SDK) és a háttér C2 infrastruktúráról platformszolgáltatókkal, bűnüldöző szervekkel és kutatócégekkel, hogy segítsük az ökoszisztéma széleskörű tájékoztatását és érvényesítését. Gondoskodtunk arról, hogy a Google Play Protect, az Android beépített biztonsági védelme automatikusan figyelmeztesse a felhasználókat és letiltsa azokat az alkalmazásokat, amelyekről tudvalevő, hogy NetNut SDK-t tartalmaznak, és a rendszer továbbra is védelmet nyújt a jövőbeli telepítési kísérletek ellen. Ezek a törekvések a szélesebb digitális ökoszisztéma biztonságának megőrzésére kiegészítik azokat a védelmi intézkedéseket, amelyekkel az Android felhasználókat a tanúsított eszközökön védjük. Úgy véljük, hogy összehangolt intézkedéseink jelentős romlást okoztak a NetNut proxyhálózatának és üzleti működésének, csökkentve a proxy üzemeltető számára elérhető eszközök számát milliókkal. A NetNut márkájú hálózathoz való hozzáférés értékesítése mellett a NetNut rendelkezik egy robusztus viszonteladói programmal, amely lehetővé teszi a hálózata márkanevének eltüntetését. A Google magas fokú bizalommal hiszi, hogy sok népszerű lakossági proxy márka valójában a NetNut botnetet használja fehér címkézés keretében. Míg azt várjuk, hogy ez a zavarás nagyobb hatással lesz a lakossági proxy ökoszisztémára, az IPIDEA zavarasa után tett megfigyelések azt bizonyították, hogy az egyes hálózatok ellenállónak tűnhetnek. Amit megfigyeltünk, az az, hogy amikor a saját botnetjük romlásával néznek szembe, a proxy üzemeltetők elkezdenek kapacitást vásárolni versenytársaiktól, így gyakorlatilag viszonteladókká válnak. Felismerjük, hogy egy tartós zavarás létrehozása ebben a dinamikus ökoszisztémában azt jelenti, hogy a számos összekapcsolt szolgáltató infrastruktúrájának célzott támadásait fokozni kell. Továbbra is figyelemmel kísérjük a NetNut hálózat összetételét, és feltérképezzük, miként alkalmazkodnak a társai ehhez a lépéshez. Miért fontos A NetNut az egyik legnagyobb és legnépszerűbb lakossági proxyhálózat. A lakossági proxyhálózatok méretének megbecsülése rendkívül nehéz, de a Google Fenyegetés Értékelő Csoport (GTIG) legalább 2 millió eszközt becsül a NetNut hálózat méretének, amelyek világszerte eloszlanak. A KrebsOnSecurity és mások által közzétett nyilvános jelentések, amelyeket a Google is megerősített, azt illusztrálják, hogy a NetNut a botnetjét olyan eszközök SDK-jainak terjesztésével népesíti be, amelyek gyakran megtalálhatók otthonokban, mint például okostévék és streaming dobozok. A GTIG szintén azonosította a NetNut botnet plugin komponenseit nagyszabású botnetekhez, mint például a Badbox 2.0. A lakossági proxyhálózatok lehetővé teszik a forgalom átirányítását az internet szolgáltatók (ISP-k) által birtokolt IP-címeken, lehetővé téve a támadók számára, hogy eltitkolják a rosszindulatú tevékenységeket ezeknek az IP-címeknek az ellopásával. Egy robusztus lakossági proxyhálózat irányításához milliók lakossági IP-címére van szükség, amelyeket vevőiknek lehet értékesíteni. Ennek megvalósításához a szolgáltatóknak kódot kell futtatniuk otthoni eszközökön, hogy azokat belépési csomópontokká nyilvánítsák a rosszindulatú hálózatban. Az otthoni eszközök a proxyhálózatok részévé válnak, vagy azért, mert vásárlás előtt már előtelepítettek rájuk kártevőt, vagy mert a felhasználók akaratlanul is letöltenek olyan alkalmazásokat, amelyek rejtett proxykódot tartalmaznak. Ez súlyos kockázatokat teremt a gyanútlan eszköztulajdonosok számára, mivel az otthoni IP-címeket a támadók használhatják a hackelésre és más jogosulatlan tevékenységekre. Ennek következtében a felhasználók jogos forgalma gyanúsnak minősülhet, vagy blokkolhatja a szolgáltatójuk. 2026 júniusában egyetlen hét alatt a GTIG 316 különböző fenyegetési klasztert figyelt meg, amelyek gyanús NetNut kilépési csomópontokat használtak, beleértve a kiberbűnözői és kémkedési csoportokat. Ezek a rossz szereplők a NetNutot használhatják, hogy eltitkolják az eredeti IP-címüket, amikor áldozatok környezetéhez férnek hozzá, saját infrastruktúráikhoz, és jelszópermetezési támadásokat végeznek. Továbbá, amikor egy fogyasztói eszköz kilépési csomóponttá válik, jogosulatlan hálózati forgalom halad át rajta. Ez azt jelenti, hogy a rossz szándékú szereplők hozzáférhetnek más magán eszközökhöz ugyanabban az otthoni hálózatban, ezzel veszélyeztetve őket az internetes fenyegetéseknek. A Synthient, Spur, Nokia Deepfield és mások által közzétett nyilvános jelentések dokumentálták, hogy a NetNutot felhasználták eszközök megfertőzésére a Mirai DDoS botnetek változataival. Fogyasztók felhatalmazása és védelme A fogyasztóknak rendkívül óvatosnak kell lenniük az olyan alkalmazásokkal szemben, amelyek „kihasználatlan sávszélességért” vagy „az internet megosztásáért” kínálnak fizetést. Ezek az alkalmazások a legfontosabb módjai a rosszindulatú proxyhálózatok növekedésének, és biztonsági sebezhetőségeket nyithatnak az eszköz otthoni hálózatán. Arra kérjük a felhasználókat, hogy ragaszkodjanak a hivatalos alkalmazásboltjához, ellenőrizzék a harmadik fél VPN-jainak és proxyinak engedélyeit, és győződjenek meg róla, hogy az olyan beépített biztonsági védelmek, mint a Google Play Protect, aktívak. A fogyasztóknak óvatosan kell vásárolniuk csatlakoztatható eszközöket, például set-top boxokat, hogy megbizonyosodjanak arról, hogy megbízható gyártótól származnak. Például a hivatalos Android TV OS-sel és Play Protect-tanúsítvánnyal ellátott eszközök megerősítésében segít a legfrissebb partnerségi lista, amelyet az Android TV weboldalunk nyújt. Ezen kívül ezeket a lépéseket is megteheti, hogy ellenőrizze, hogy az Android-eszköze Play Protect-tanúsítvánnyal rendelkezik-e. Jövőbeli munka Ahogy már korábban említettük az idén, a lakossági proxyipar gyorsan bővülni látszik, és ez az összehangolt zavarás nem a munkánk vége a rosszindulatú lakossági proxyhálózatokkal szembeni küzdelemben. Ez az ipar mélyen összefonódik, és az üzemeltetők függnek az átfedő botnet hálózatoktól, amelyeket folyamatosan újraértékesítenek. Míg a pontos időpontokban végrehajtott zavarások kritikus eszközök a felhasználóink védelmében, folyamatos és összehangolt erőfeszítések szükségesek a rosszindulatú proxyhálózatok hosszú távú csökkentéséhez. Ösztönözzük a mobil platformokat, az ISP-ket és más technológiai platformokat, hogy folytassák az információk megosztását, és közvetlen intézkedéseket tegyenek a rosszindulatú C2 infrastruktúra blokkolására.

A teljes cikk az eredeti weboldalon

Külső link: cloudblog.withgoogle.com

Kapcsolódó cikkek