FBI查封NetNut域名,谷歌中断200万台设备代理网络
7月2日,美国联邦调查局(FBI)和国税局刑事调查部门查封了与NetNut相关的域名,将该公司主页替换为联邦查封通知,导致这家全球最大的住宅代理服务商之一瘫痪。此次行动得到了谷歌、Lumen旗下的Black Lotus Labs以及Shadowserver基金会的支持。
NetNut是什么?
NetNut是一家以色列商业代理服务提供商,隶属于纳斯达克上市公司Alarum Technologies。该公司销售住宅代理服务,允许客户通过分配给普通家庭和消费设备的IP地址路由互联网流量。企业通常使用此类服务进行网页抓取、价格监控和广告验证,但同样的架构也可能隐藏恶意活动。
根据谷歌威胁情报小组的说法,NetNut 的网络依赖于全球至少两百万台设备,其中许多是安卓智能电视和流媒体盒子。这些系统充当出口节点,使用户产生的流量看起来像是来自普通的家庭互联网连接,而不是数据中心或企业基础设施。
该公司表示,该服务已成为恶意行为者的常用工具。仅在6月份的一周内,研究人员就观察到316个独立的威胁集群使用疑似NetNut出口节点,其中包括网络犯罪团伙和国家支持的间谍活动。这些活动包括密码喷洒、未经授权的访问尝试以及与攻击者控制的系统进行通信。
住宅代理在互联网经济中占据着一个复杂的位置。合法机构将其用于商业用途,而攻击者则看重它们,因为它们能将可疑流量伪装成普通消费者的活动。通过住宅 IP 地址发送的请求触发自动防御系统的可能性,低于来自已被认定为滥用行为的托管服务提供商的流量。
NetNut 的工作原理
以NetNut为例,设备加入网络的方式不止一种。谷歌表示,有些产品在交付给消费者时就已经预装了代理组件,而另一些产品则是在用户下载了包含隐藏软件开发工具包(SDK)的应用程序后才成为系统的一部分。在许多情况下,设备所有者几乎没有意识到他们的互联网连接可能被用于转发第三方流量。
谷歌采取了一系列技术措施来削弱该网络。该公司禁用了与 NetNut 命令基础架构相关的帐户和服务,与行业合作伙伴共享了有关该平台软件和后端系统的情报,并更新了 Play Protect,以警告 Android 用户并禁用包含已知 NetNut 组件的应用程序。
域名被查封
FBI 和 IRS 查封了与 NetNut 相关的多个域名,包括netnut.com, proxyjet.io和divinetworks.com。其中, 通过与互联网服务提供商直接交易提供静态住宅代理。NetNut 的.io域名随后仍在线一段时间,一些研究人员对此表示质疑。
国际网络文摘 (International Cyber Digest) 在 X 上可能已经回答了这个问题,该文摘暗示,被查封的netnut.com域名可能是由于对 NetNut 的活跃域名使用情况的混淆而误收的。
该账户指出,互联网档案馆的记录显示netnut.com,netnut.com 域名下并未托管代理网络服务,但netnut.io该域名似乎与 NetNut 的代理服务相关联。Hackread.com 也证实,netnut.com 一直显示出售该域名的横幅广告,而非宣传任何代理相关服务。
国际网络文摘在推特上发文称:“FBI查封了netnut(.)com域名,但互联网档案馆的记录显示,该域名上从未托管过任何代理网络网站。而真正的域名netnut(.)io则有相关记录。”
另一方面,Alarum在查封行动后发表声明,承认了执法行动。该公司表示将配合调查人员的工作,并随后披露有更多域名受到影响。该公司还警告投资者,NetNut服务的长期中断可能会对业务运营和财务业绩产生重大影响。
NetNut及其与Popa的联系
研究人员长期以来一直将与 NetNut 相关的基础设施与名为 Popa 的僵尸网络联系起来。互联网监管机构 Qurium 的调查将 Popa 的活动与盗版流媒体应用程序联系起来,而谷歌则报告称在Kimwolf DDoS 僵尸网络和Badbox 2.0基础设施中发现了与 NetNut 相关的组件。
尽管这些行动各自独立,但二者之间的重叠表明商业代理服务和恶意软件网络是如何相互交织的。谷歌在今年1月捣毁了一个类似的恶意软件网络IPIDEA。
用户应始终将代理用于合法用途,从信誉良好的制造商处购买联网设备,检查安卓产品是否拥有 Play Protect 认证,避免使用以未使用带宽换取金钱的应用,并仔细检查授予VPN 或代理软件的权限。这些措施可以降低电视、流媒体播放器或其他智能设备被他人接入家庭代理网络的风险。
FBI查封NetNut域名,谷歌中断200万台设备代理网络
