Координирани усилия на правоохранителните органи в САЩ и изследователи от частния сектор доведоха до разбиването на мащабна мрежа от прокси сървъри, която превръщаше обикновени потребителски устройства в инструменти за киберпрестъпност. Операцията, ръководена от ФБР и групата за разузнаване на заплахи на Google (Threat Intelligence Group) беше насочена срещу NetNut – търговска прокси услуга, която изследователите проследяват и като ботнетa „Popa“. Според Google мрежата е привлякла над два милиона устройства по целия свят, пренасочвайки интернет трафика през жилищни интернет връзки.

Ботнетът „Popa“ разчиташе на комплект за разработка на злонамерен софтуер, вграден в евтини устройства с Android, включително смарт телевизори и стрийминг устройства, както и на неофициални приложения като SmartTube. Веднъж свързани, тези устройства започваха да действат като прокси изходни точки, без да информират потребителите. Тази конфигурация позволяваше на хакерите да изпращат трафик през IP адреси на домашни потребители, което затрудняваше системите за сигурност да откриват или блокират злонамереното поведение.

Google съобщи, че през една седмица през юни най-малко 316 различни групи заплахи са използвали мрежата на NetNut за „password spraying“, „credential stuffing“, рекламна измама и събиране на чувствителни данни. Начинът, по който NetNut е функционирал, го отличава от обичайните подземни ботнет мрежи. Вместо да бъде управляван изцяло от подземни участници, изглежда, че е имал връзки с търговско дружество.

ФБР и Google разбиха ботнет мрежа от 2 милиона смарт телевизора

Журналистът по киберсигурност Брайън Кребс съобщи, че мрежата е свързана с Alarum Technologies – израелска компания, чиито акции се търгуват на борсата Nasdaq. Alarum по-рано е описвала платформата си като услуга за споделяне на трафик по взаимно съгласие. Независими технически проверки обаче установиха, че потребителите не са били ясно уведомени, нито е било поискано изричното им съгласие, преди устройствата им да бъдат използвани като част от прокси мрежата.

Google не коментира директно тези корпоративни връзки, но посочи начина, по който функционира мрежата. Изследователите заявиха, че NetNut поддържа модел на препродажба, който позволява на други компании да преименуват и продават достъп до същата инфраструктура. Екипът заяви, че е стигнал до заключението „с висока степен на увереност“, че много популярни марки прокси сървъри за домашно ползване са изградени върху мрежата на NetNut.

Властите конфискуваха стотици домейни, свързани с услугата, докато Google деактивира акаунтите, използвани за управление и контрол, и пусна актуализации на Play Protect, за да маркира засегнатите приложения. Приложенията, съдържащи компрометирания SDK също бяха изключени.