ФБР при содействии Google конфисковало домен NetNut из-за связей с ботнетом “Popa”

фбр Netnut ботнет Popa прокси кибербезопасность neowin.net

ФБР при содействии Google заблокировало сайт NetNut после того, как выяснилось, что он использовался ботнетом Popa, затронувшим миллионы устройств.

Федеральное бюро расследований (ФБР) предприняло серьезные меры в отношении сотен доменов, связанных с сервисом резидентных прокси под названием NetNut, который управляется израильской компанией Alarum Technologies. Это произошло после того, как несколько фирм по кибербезопасности обнаружили связь между NetNut и ботнетом Popa, в результате заражения вредоносным ПО было скомпрометировано более двух миллионов устройств.

После действий ФБР домашняя страница NetNut была заменена уведомлением о конфискации от ФБР и Отдела уголовных расследований Налоговой службы (IRS). На уведомлении также присутствуют логотипы Google, Lumen и Shadowserver, которые помогли ФБР вывести из строя домены, связанные с ботнетом Popa.

По данным Группы по разведке угроз Google (GTIG), прокси-сеть NetNut перепродавалась и использовалась другими провайдерами прокси под собственными брендами. Киберпреступники использовали эти услуги для сокрытия источника своего вредоносного трафика.

GTIG сообщила, что злоумышленники использовали NetNut для сокрытия своих IP-адресов при проникновении в среды жертв, доступе к собственной инфраструктуре или проведении атак типа password spray. Также сообщалось, что когда потребительское устройство становится выходным узлом (exit node), через него проходит несанкционированный сетевой трафик, что позволяет злоумышленникам получать доступ к другим частным устройствам в тех же домашних сетях и подвергать их угрозам в интернете.

Google помогла ФБР, отключив учетные записи и сервисы Google, которые NetNut использовала для командно-контрольных операций вредоносного ПО. Google также предоставила техническую информацию, которой располагала о комплектах для разработки программного обеспечения (SDK) NetNut и серверной инфраструктуре. Google также отключает приложения, которые включают SDK NetNut.

Alarum Technologies, публичная компания, владеющая NetNut, заявила, что ей известно о конфискации, и она сотрудничает со следователями, чтобы гарантировать, что те, кто злоупотреблял ее инфраструктурой, будут «тщательно расследованы, а виновные понесут ответственность».

Одним из основных векторов заражения устройств ботнетом Popa являются сомнительные небрендированные ТВ-приставки для потокового вещания. Google рекомендует придерживаться известных брендов от авторитетных производителей, а затем быть осторожными с тем, какие приложения вы устанавливаете. Также рекомендуется проверять, использует ли ваша ТВ-приставка официальную операционную систему Android TV OS и имеет ли она сертификацию Play Protect.

Источник: KrebsOnSecurity

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: