Sieć proxy służąca do dystrybucji malware’u – zakłócona
NetNut – sieć proxy, która od lat służyła jako narzędzie dla cyberprzestępców do rozprzestrzeniania malware’u i innych form szkodliwego oprogramowania – została częściowo rozbita. Takie informacje przekazała firma Google, która wzięła udział w działaniach w tę sieć wymierzonych wraz z Lumen Technologies, Federalnym Biurem Śledczym (FBI) oraz innymi podmiotami, które pozostają obecnie nieujawnione.
NetNut funkcjonuje jako hurtownia adresów IP należących do nieświadomych użytkowników, których urządzenia zostały zainfekowane oprogramowaniem przemysłowym wbudowanym w legalne aplikacje. Ocenia się, że do wczoraj mógł obejmować ponad dwa miliony zhakowanych urządzeń prywatnych. Sieć sprzedawała dostęp do tych endpointów podmiotom zajmującym się masowym przesyłaniem spamu, atakami DDoS oraz innymi przestępczymi aktywnościami wymagającymi maskowania tożsamości.
Miała ona obsługiwać miliony żądań dziennie, z czego znacząca część była powiązana z kampaniami malware’owymi, w tym z dystrybucją ransomware’u, trojanów bankowych oraz oprogramowania szpiegującego – stanowiąc często ważne narzędzie i istotny element łańcucha działań dla grup cyberprzestępczych. Co więcej, według analizy Google Threat Intelligence Group, znaczna część rynku rezydencyjnych usług proxy stanowiła w rzeczywistości przemianowany produkt tej samej sieci – popularne marki oferujące proxy okazywały się jedynie usługami white label korzystającymi z tego samego zbioru skompromitowanych urządzeń.
W efekcie, skala oraz stopień zaawansowania technicznego wyróżniały NetNut na tle konkurencji. Sieć ta oferowała nie tylko anonimowość, ale także wysoką wydajność i niskie opóźnienia, co czyniło ją atrakcyjną dla przestępców. Z pojawiających się raportów wynika, że około 20 procent ruchu generowanego przez tę sieć (a możliwe, że nawet więcej) było powiązane z aktywnymi kampaniami malware’owymi, a wartość szacunkowych strat spowodowanych przez oprogramowanie rozprzestrzeniane za pośrednictwem tej sieci sięgała kilkuset milionów dolarów rocznie.
Google walczy z wirtualnymi wiatrakami
W ramach działań wymierzonych w tę sieć, FBI przejęło fizyczną kontrolę nad platformą NetNut oraz powiązanym z nią botnetem Popa. Lumen Technologies zablokował ruch sieciowy dotyczący tej platformy na poziomie swojej szkieletowej infrastruktury. Mimo tych działań, sieci proxy oparte na kompromitacji urządzeń IoT i telefonów komórkowych wykazują zdolność do regeneracji poprzez whitelabeling – technikę pozwalającą operatorom na błyskawiczne przekształcenie się w dystrybutorów innych, jeszcze niezdegradowanych zasobów.
Ze swej strony Google, prócz nałożenia techniczne blokady dostępu do platformy, podjęła również kroki prawne przeciwko operatorom Netnut. Wykorzystując zaawansowane algorytmy analizy ruchu sieciowego oraz współpracę z dostawcami usług chmurowych, firma miała zidentyfikować i zneutralizować kluczowe węzły sieci – co o tyle ważne, że NetNut była znana ze zdolności do omijania tradycyjnych mechanizmów blokady, takich jak czarne listy IP czy systemy wykrywania anomalii.
Efekt wczorajszej akcji określono jednak mianem „znaczącej degradacji”, nie zaś eliminacji. Pula dostępnych urządzeń dla operatora proxy skurczyła się o miliony sztuk, co tymczasowo utrudnia routing złośliwego ruchu. Niemniej doświadczenia z ostatnich miesięcy, kiedy to podobna operacja dotknęła sieć IPIDEA, wskazują na charakterystyczną odporność tego typu infrastruktury. Operatorzy IPIDEA szybo odbudowali swoje zasoby, i to nawet niekoniecznie przez ponowne zarażanie nowych urządzeń, co poprzez prosty zakup przepustowości od konkurentów, efektywnie przekształcając się w resellerów cudzych botnetów.
