谷歌近日宣佈,已聯合美國聯邦調查局(FBI)及Lumen Technologies等合作伙伴,對NetNut住宅代理網絡展開大規模打擊行動,大幅削減了該網絡可用的受感染設備池。NetNut也被稱為Popa,是一個龐大的住宅代理網絡,通過全球至少200萬台聯網設備(包括智能電視和流媒體盒子)來路由他人網絡流量。
住宅代理網絡本身可用於廣告驗證等合法目的,但其掩蓋流量來源的特性,也常被網絡犯罪團伙用於隱藏惡意軟件分發、釣魚攻擊和數據竊取等活動。谷歌威脅情報集團估計該網絡擁有至少200萬台設備,攻擊者付費通過這些設備路由流量,使其看起來像普通家庭瀏覽,從而繞過安全工具的檢測。
谷歌在此次行動中採取了一系列措施:禁用了NetNut用於惡意軟件命令與控制操作的賬戶及相關服務;與執法部門共享了有關該集團軟件開發工具包及後端基礎設施的技術情報;並部署Google Play Protect自動警告用戶並禁用被發現集成了NetNut SDK的應用程序。谷歌表示,這些協調行動已對NetNut的代理網絡及其業務運營造成嚴重削弱,使該代理運營商的可用設備池減少了數百萬台。
NetNut是一家成立於2017年的公司,為以色列網絡安全公司Alarum Technologies的子公司。此前已有研究指出NetNut與Popa殭屍網絡的關聯。調查發現,衆多盜版或修改版視頻流應用(如CRICFy、DooFlix等)中嵌入了Popa的SDK,導致用戶在不知情的情況下成為代理來源。Alarum Technologies則否認相關指控,稱其軟件用於經同意的帶寬共享功能,但研究人員指出,在其分析的20多個應用中,均未觀察到向用戶顯示同意提示。
谷歌將此次行動稱為「削弱」而非「消滅」,因為NetNut還通過經銷商計劃讓其他公司以自有品牌轉售其網絡。此前對類似IPIDEA網絡等行動表明,這類運營商具有一定韌性。
責任編輯:張俊 SF065