Introduction

Google a réussi à perturber NetNut, l'un des plus grands réseaux de proxy résidentiels au monde, en dégradant un service qui avait transformé plus de 2 millions de périphériques domestiques en relais pour le trafic Internet d'autres personnes.

Contexte Technique

NetNut, également connu sous le nom de Popa, vend l'accès à des adresses Internet résidentielles qui permettent aux acheteurs de router le trafic via des connexions Internet réelles. Cela rend l'activité malveillante similaire à une navigation ordinaire plutôt qu'à un trafic de centre de données que les outils de sécurité tendent à bloquer. Google estime que le réseau s'étend sur au moins 2 millions de périphériques, dont de nombreux téléviseurs intelligents et boîtiers de streaming qui contenaient soit le code de proxy préinstallé, soit l'ont acquis via des applications gratuites qui le cachaient.

Google a pris trois mesures principales pour neutraliser NetNut. Tout d'abord, il a désactivé les comptes Google et les services utilisés par NetNut pour le contrôle et la commande des logiciels malveillants. Ensuite, il a partagé des informations techniques sur les kits de développement logiciel et l'infrastructure back-end du réseau avec les fournisseurs de plateformes, les forces de l'ordre et les entreprises de recherche. Enfin, il a configuré Google Play Protect pour avertir les utilisateurs et désactiver les applications contenant les kits de développement logiciel NetNut.

Analyse et Implications

L'ampleur de l'abus est considérable. Au cours d'une seule semaine en juin, le groupe de renseignement sur les menaces de Google a compté 316 clusters de menaces distincts utilisant des nœuds de sortie NetNut suspects, notamment des groupes de cybercriminels et d'espionnage. Les attaquants ont utilisé le réseau pour masquer leur origine, atteindre les environnements des victimes et exécuter des attaques de pulvérisation de mots de passe. Google a déclaré que les périphériques transformés en nœuds de sortie donnent également au trafic extérieur un chemin d'accès aux réseaux domestiques, exposant d'autres périphériques sur la même connexion.

Perspective

Contrairement à la plupart des botnets de proxy, NetNut peut être retracé jusqu'à une entreprise publique. Il est détenu par Alarum Technologies Ltd., une entreprise israélienne cotée au Nasdaq. NetNut a été fondé en 2017. En juin, des chercheurs de la Fondation Qurium Media, de Synthient LLC, de Nokia Deepfield et de Spur Intelligence Inc. ont lié Popa à NetNut, et Synthient a signalé qu'aucune des plus de 20 applications examinées n'a affiché de prompt de consentement aux utilisateurs.

Alarum rejette la caractérisation du botnet. L'entreprise a qualifié la recherche de « déclarations inexactes et de déductions erronées plutôt que de faits vérifiés » et a déclaré que son logiciel prend en charge le partage de bande passante consenti qui ne compromet pas les périphériques sur lesquels il s'exécute. Google a présenté la neutralisation comme une dégradation plutôt que comme une suppression. NetNut exécute un programme de revendeur qui permet à d'autres entreprises de vendre son réseau sous leurs propres marques, et Google a déclaré qu'il a une confiance élevée dans le fait que de nombreux services de proxy apparemment indépendants sont en réalité des étiquettes blanches du même pool.