Google 威脅情報集團(GTIG)今日宣布,聯合美國聯邦調查局(FBI)、網路安全企業 Lumen Technologies 及其他合作夥伴,對全球規模最大的惡意住宅代理網絡 NetNut 展開大規模打擊行動,成功使可用受感染設備池縮減數百萬台。
NetNut 又名為「Popa」,是遍布全球的住宅代理網路,感染至少 200 萬台家用聯網設備,包括智慧電視及串流媒體播放盒,轉成長期線上的代理節點,再出租給其他人使用。這些設備流量用於大規模網路爬蟲、廣告詐欺及帳號盜取等惡意活動。GTIG 統計,僅 6 月某週內,便發現 316 個威脅群組透過疑似 NetNut 的出口節點隱藏真實位置,發動密碼暴力破解攻擊,包括網路犯罪及網路間諜組織。
住宅代理網路可用於廣告驗證等合法用途,但模糊流量來源的特性,使其長期遭犯罪集團用來隱匿散播惡意軟體、網路釣魚及資料竊取等非法活動。
聯合行動時 Google 採取多項措施:首先停用 NetNut 命令惡意軟體與控制(C2)的 Google 帳戶及相關服務,因直接違反 Google 服務條款及可接受使用政策;其次,將 NetNut 軟體開發套件(SDK)及後端基礎設施的技術情報與平台業者、執法機關及研究機構分享,以推動整個生態系統的防範意識與執法行動;第三,更新 Android 內建安全防護機制 Google Play Protect,自動警告用戶並停用已知整合 NetNut SDK 的應用程式,並持續防範之後再嘗試安裝。
FBI 與美國國稅局刑事調查部門(IRS-CI)也查封 NetNut 及 Popa 殭屍網路相關的數百個網域,NetNut 官網首頁已放上 FBI 查封公告。Lumen、Shadowserver 等業界夥伴亦協助此次行動。
NetNut 母公司為以色列上市那斯達克的 Alarum Technologies,2 日表示接獲 FBI 查封部分 NetNut 相關網域,聲明說「Alarum 嚴肅看待此事,將全力配合執法機關,確保任何基礎設施濫用行為均受到徹底調查,相關責任人依法追究」。
但受此消息衝擊,Alarum Technologies 股價盤後交易重挫近 40%。FBI 調查 NetNut 與 Popa 潛在關聯已逾一年。
Google 表示,此次協調行動對 NetNut 代理網路及業務造成「嚴重削弱」,使代理商的可用設備池縮減數百萬台。Google 警告,此次行動定性為「削弱」而非「消滅」,因為 NetNut 設有完善的經銷商計畫,允許其他公司以自有品牌轉售網路服務。1 月針對類似 IPIDEA 網路的打擊行動已顯示,此類經營商有一定的重建力。
此次行動是 Google 持續打擊惡意住宅代理網路系列行動的延續。Google 建議用戶保持 Google Play Protect 等內建防護機制開啟,僅從官方應用程式商店下載應用,並對要求「分享閒置頻寬」或「共享網路」以換取報酬的應用程式保持高度警惕,且購買串流盒及智慧電視時應選擇知名品牌。
- Google, FBI disrupt NetNut malware proxy network
- Google disrupts NetNut proxy network used in malware operations
- FBI Seizes NetNut Proxy Platform, Popa Botnet
- Google Disrupts NetNut Residential Proxy Network Spanning 2 Million Home Devices
- 스마트TV·셋톱박스 200만대 해킹…구글, 불법 프록시망 차단
- Alarum Technologies Responds to Inquiry into Residential Proxy Networks
(首圖來源:Magnific)






