Федеральное бюро расследований (ФБР) предприняло серьезные меры в отношении сотен доменов, связанных с сервисом резидентных прокси под названием NetNut, который управляется израильской компанией Alarum Technologies. Это произошло после того, как несколько фирм по кибербезопасности обнаружили связь между NetNut и ботнетом Popa, в результате заражения вредоносным ПО было скомпрометировано более двух миллионов устройств.
После действий ФБР домашняя страница NetNut была заменена уведомлением о конфискации от ФБР и Отдела уголовных расследований Налоговой службы (IRS). На уведомлении также присутствуют логотипы Google, Lumen и Shadowserver, которые помогли ФБР вывести из строя домены, связанные с ботнетом Popa.
По данным Группы по разведке угроз Google (GTIG), прокси-сеть NetNut перепродавалась и использовалась другими провайдерами прокси под собственными брендами. Киберпреступники использовали эти услуги для сокрытия источника своего вредоносного трафика.
GTIG сообщила, что злоумышленники использовали NetNut для сокрытия своих IP-адресов при проникновении в среды жертв, доступе к собственной инфраструктуре или проведении атак типа password spray. Также сообщалось, что когда потребительское устройство становится выходным узлом (exit node), через него проходит несанкционированный сетевой трафик, что позволяет злоумышленникам получать доступ к другим частным устройствам в тех же домашних сетях и подвергать их угрозам в интернете.
Google помогла ФБР, отключив учетные записи и сервисы Google, которые NetNut использовала для командно-контрольных операций вредоносного ПО. Google также предоставила техническую информацию, которой располагала о комплектах для разработки программного обеспечения (SDK) NetNut и серверной инфраструктуре. Google также отключает приложения, которые включают SDK NetNut.
Alarum Technologies, публичная компания, владеющая NetNut, заявила, что ей известно о конфискации, и она сотрудничает со следователями, чтобы гарантировать, что те, кто злоупотреблял ее инфраструктурой, будут «тщательно расследованы, а виновные понесут ответственность».
Одним из основных векторов заражения устройств ботнетом Popa являются сомнительные небрендированные ТВ-приставки для потокового вещания. Google рекомендует придерживаться известных брендов от авторитетных производителей, а затем быть осторожными с тем, какие приложения вы устанавливаете. Также рекомендуется проверять, использует ли ваша ТВ-приставка официальную операционную систему Android TV OS и имеет ли она сертификацию Play Protect.
Источник: KrebsOnSecurity
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Paul Hill




