Google e FBI derrubam NetNut, botnet de proxies residenciais com 2 milhões de dispositivos

Operação coordenada entre Google Threat Intelligence Group, FBI, Lumen e Shadowserver mira uma das maiores redes de proxies residenciais do mundo, ligada a Badbox 2.0 e Mirai, com pelo menos 2 milhões de dispositivos comprometidos.

img2

Google, FBI, Lumen e Shadowserver desmantelaram parcialmente a NetNut, uma das maiores redes de proxies residenciais do mundo — com pelo menos 2 milhões de dispositivos comprometidos, majoritariamente aparelhos baratos de streaming de TV. A operação marca a continuação de uma campanha coordenada iniciada em janeiro contra a rede IPIDEA e mira diretamente a infraestrutura que criminosos usam para camuflar tráfego malicioso como se viesse de conexões domésticas legítimas.

O que aconteceu

O Google Threat Intelligence Group (GTIG), em parceria com autoridades federais dos Estados Unidos e provedores de inteligência como Lumen (Black Lotus Labs) e Shadowserver, anunciou o “significativo enfraquecimento” da NetNut, um dos provedores de proxy residencial mais populares do mercado. A empresa ostentava uma base estimada em 2 milhões de dispositivos residenciais comprometidos ou “voluntariamente” inscritos — número que a coloca no topo da hierarquia global desse tipo de infraestrutura.

O domínio netnut.com passou a exibir a mensagem “This website has been seized” (site apreendido). Curiosamente, um segundo domínio da operação, netnut.io, permanecia acessível no momento das divulgações — indicando que a apreensão foi parcial ou que o operador tenta manter continuidade sob outra fachada. O Register procurou o GTIG para comentar, sem resposta imediata.

A operação é uma continuação direta da ação contra a IPIDEA — outra rede de proxy residencial derrubada em janeiro. O padrão de ataque coordenado entre big techs, ISPs e forças policiais aponta para uma estratégia de longo prazo contra a infraestrutura sombria que sustenta parte relevante do cibercrime moderno.

Como o esquema funciona

Proxies residenciais são conexões de internet reais — cabo, fibra, 4G/5G — usadas para intermediar tráfego de terceiros. Do ponto de vista do site de destino, a requisição parece vir de um usuário doméstico comum, o que dificulta bloqueio por reputação de IP. Provedores desse mercado inflam suas bases distribuindo SDKs embutidos em apps aparentemente inocentes: “VPN gratuita”, “extensor de sinal”, “app de recompensas” — o usuário instala e passa a compartilhar sua banda sem entender o que está fazendo.

No caso NetNut, o GTIG identificou algo mais grave: a rede também incorporava componentes do Badbox 2.0, uma botnet Android amplamente documentada que preinfecta dispositivos baratos ainda na cadeia de suprimentos — TV boxes, tablets, projetores digitais vendidos com firmware modificado. Relatórios públicos adicionais indicam que o mesmo canal foi usado para infecções por variantes do Mirai, o clássico malware IoT.

“Redes de proxy residenciais como a NetNut sustentam operações de fraude publicitária, credential stuffing, scraping massivo e ocultação de infraestrutura de comando e controle — todas atividades que dependem de camadas de anonimato que parecem legítimas”, resume a análise do GTIG.

Riscos e limitações

  • Fraude publicitária — a maior parte do tráfego malicioso via proxies residenciais serve a esquemas de ad fraud, esgotando orçamentos de anunciantes.
  • Credential stuffing e account takeover — ataques que distribuem tentativas por centenas de IPs residenciais burlam limites de tentativa por endereço.
  • Ocultação de C2 e phishing — atacantes hospedam infraestrutura maliciosa atrás de IPs residenciais para dificultar takedown.
  • Riscos para o dono do dispositivo comprometido — o tráfego de terceiros passa pela conexão da vítima, que pode responder juridicamente por atividade que nem sabia que estava ocorrendo em sua rede.
  • Persistência do modelo — o Google reconhece que ações “ad hoc” só têm efeito limitado: sem cooperação estrutural com ISPs e fabricantes de dispositivos, novas redes ocupam o espaço em pouco tempo.

Análise

A derrubada da NetNut é politicamente importante, mas tecnicamente incompleta. O mercado de proxies residenciais fatura na casa dos bilhões de dólares por ano e sustenta um ecossistema onde diferenciar operadores “legítimos” (uso corporativo para pesquisa de mercado, verificação de anúncios, testes de geolocalização) e operadores criminosos ficou cada vez mais impossível. Muitas dessas empresas se apresentam como legítimas em jurisdições permissivas, revendem acesso a atores obscuros e negam responsabilidade pelo que trafega em cima.

O paralelo com a IPIDEA (janeiro) sugere que estamos vendo uma sequência calculada — não uma operação isolada. O Google explicitamente sinalizou que mais derrubadas virão. A pergunta estratégica é se a coordenação com ISPs, plataformas móveis (Android, iOS) e fabricantes de hardware IoT chegará ao ponto de tornar economicamente inviável a formação de novas botnets residenciais. Enquanto TV boxes de US$ 30 continuarem chegando ao mercado com firmware backdoored, a batalha permanece assimétrica em favor dos operadores.

Para observadores do mercado: a estratégia do GTIG parece amadurecer no sentido de mirar a monetização — não os endpoints. Cortando o acesso comercial (venda de proxies para clientes empresariais) e degradando reputação (aparecer em relatórios públicos como “vinculado à Badbox e Mirai”), a operação empurra os operadores para nichos menos lucrativos.

Recomendações práticas

  • Auditoria de dispositivos IoT domésticos — TV boxes, tablets Android baratos e projetores adquiridos em marketplaces devem ser isolados em VLAN de convidado e monitorados para tráfego incomum.
  • Bloqueio de destinos suspeitos em firewall corporativo — bloqueie tráfego para domínios conhecidos de C2 associados a Badbox/Mirai (listas do Shadowserver e do GTIG são referências).
  • Cuidado com SDKs de “monetização” em desenvolvimento mobile — muitos SDKs oferecem receita em troca de compartilhar a banda do usuário. Se você é desenvolvedor, essa prática pode expor sua base de usuários a responsabilidade jurídica.
  • Adote detecção comportamental de bots — se seu negócio depende de login (banco, e-commerce, mídia), invista em soluções que identifiquem padrões de credential stuffing independentemente da reputação do IP.
  • Compartilhe indicadores — participe de comunidades como o Shadowserver Alliance para receber IOCs de redes de proxy em tempo real.
  • Reveja contratos com fornecedores de “web scraping” ou “verificação” — se algum fornecedor externo entrega dados via IPs residenciais, exija comprovação de origem lícita.

Fonte: The Register

Social Media Auto Publish Powered By : XYZScripts.com