Een wifi-router en een netwerkswitch naast elkaar, de thuisapparatuur waarlangs residentieel internetverkeer loopt.
Nieuws3 juli · 22:215 min leestijd

Google en FBI halen NetNut-proxynetwerk neer: 2 miljoen gekaapte apparaten losgekoppeld

Google en de FBI ontmantelden NetNut, een residentieel proxynetwerk van meer dan 2 miljoen besmette Android-apparaten, smart-tv's en streamingboxen die crimineel verkeer verhulden achter gewone thuisadressen.

Google en de FBI hebben donderdag een van de grootste verhulnetwerken van het criminele internet neergehaald. In een gezamenlijke operatie, met hulp van telecombedrijf Lumen en de Shadowserver Foundation, verzwakten ze NetNut: een residentieel proxynetwerk dat draaide op meer dan 2 miljoen gekaapte apparaten wereldwijd, van goedkope Android-toestellen tot smart-tv's en streamingboxen in gewone huiskamers.

De kern van zo'n netwerk klinkt onschuldig, maar is precies wat het gevaarlijk maakt. Een residentieel proxynetwerk leidt internetverkeer door de internetverbindingen van nietsvermoedende consumenten. Voor een aanvaller betekent dat: zijn verkeer komt niet vanaf een verdacht datacenter of een bekend Tor-adres, maar vanaf het IP-adres van een willekeurig huishouden in Nederland, Duitsland of de VS. Daarmee glipt kwaadaardig verkeer langs geografische filters, IP-reputatielijsten en de meeste standaard beveiligingsmuren heen.

Van slimme tv tot exit-node

De besmette apparaten werden ongemerkt onderdeel van het netwerk. Volgens Google werden ze geinfecteerd via getrojaniseerde apps en malware zoals Badbox 2.0, die een verborgen proxy-plugin meesmokkelt. Zodra zo'n plugin actief is, verandert het apparaat in een exit-node: het routeert het verkeer van vreemden via het IP-adres van het slachtoffer. De eigenaar merkt er weinig van, behalve dat zijn thuisadres op zwarte lijsten kan belanden omdat er ineens verdacht verkeer vanaf komt.

Een Android TV-streamingbox van het merk Tracer met bijbehorende afstandsbediening voor een Panasonic-tv (Bron: Oliwier Jaszczyszyn / Wikimedia Commons, CC BY-SA 4.0)
Een Android TV-streamingbox van het merk Tracer met bijbehorende afstandsbediening voor een Panasonic-tv (Bron: Oliwier Jaszczyszyn / Wikimedia Commons, CC BY-SA 4.0)

Juist dat soort apparaten, betaalbare Android-streamingboxen en smart-tv's, vormt de zwakke schakel. Ze staan permanent aan, hangen aan het netwerk, krijgen zelden updates en worden door niemand echt beheerd. Perfect broedmateriaal voor een botnet.

Een verhuurbedrijf voor cybercriminaliteit

Hoe druk het netwerk was, blijkt uit Googles eigen metingen: in een enkele week vorige maand zag het bedrijf 316 verschillende dreigingsclusters die NetNut-exit-nodes gebruikten, van gewone cybercriminelen tot spionagegroepen. Zij gebruikten de verhulde adressen onder meer om op grote schaal wachtwoorden te raden (password-spraying), hun eigen aanvalsinfrastructuur af te schermen en zich toegang te verschaffen tot bedrijfsnetwerken. Precies het type verkeer dat schuilgaat achter fraude, credential stuffing en DDoS-aanvallen.

Achter NetNut zit een opvallende naam: het beursgenoteerde Israelische databedrijf Alarum Technologies, dat het netwerk commercieel exploiteerde en zelfs een reseller-programma had waarmee andere merken de dienst onder eigen naam konden doorverkopen. Alarum liet aan Reuters weten dat de FBI het bedrijf donderdag informeerde over de inbeslagname van een aantal van zijn domeinen en zei volledig mee te werken aan het onderzoek. De FBI onderzoekt de mogelijke banden tussen NetNut en het Popa-botnet naar verluidt al ruim een jaar, meldde Bloomberg.

Google nam netnut.com uit de lucht via de FBI, schakelde de accounts en de command-and-control-infrastructuur uit die het netwerk aanstuurden, en waarschuwde getroffen gebruikers via Play Protect. "We geloven dat onze gecoordineerde acties NetNuts proxynetwerk en bedrijfsvoering aanzienlijk hebben verzwakt, en de beschikbare pool aan apparaten voor de operator met miljoenen hebben verkleind", schrijft Google in zijn analyse van de operatie.

Waarom dit ook een Nederlands bedrijf raakt

Deze ontmanteling volgt op een reeks vergelijkbare acties. Vorige maand haalden Europol en partners in Operatie Endgame meerdere infostealers offline en vonden ze 24 miljoen gestolen inloggegevens, en eerder sleepte Google samen met de FBI een Chinees cybercrime-netwerk voor de rechter dat 2,5 miljoen frauduleuze sms-berichten verstuurde. Het patroon is duidelijk: grote platforms en opsporingsdiensten hakken criminele infrastructuur om, maar de operators bouwen die vaak binnen weken weer op.

Voor een Nederlandse ondernemer zitten er twee lessen in. De eerste is defensief aan de aanvalskant: als aanvallen tegen jouw systemen voortaan vanaf gewone thuis-IP-adressen komen, dan werkt je oude reflex, verdachte landen of datacenters blokkeren, niet meer. Je hebt detectie nodig die naar gedrag kijkt (ongebruikelijke inlogpogingen, onmogelijke reisafstanden, snelheid van aanvragen), niet naar de herkomst van een IP-adres alleen. Zet meervoudige verificatie aan en monitor op password-spraying.

De tweede les gaat over je eigen apparaten. Elke slimme tv, streamingbox, camera of ander IoT-kastje op je bedrijfsnetwerk kan, net als die 2 miljoen huiskamerapparaten, ongemerkt worden ingelijfd. Houd zulke apparaten in beeld, geef ze een eigen, afgeschermd netwerksegment los van je bedrijfsdata, installeer alleen software uit officiele bronnen en let op onverwacht uitgaand verkeer. De grootste verhulling begint bij een vergeten apparaat dat niemand beheert.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je slimme apparaten

Van slimme tv tot ieder IoT-kastje op je netwerk: ik help je in kaart brengen wat er aanstaat, richt veilige, afgeschermde omgevingen in en automatiseer het beheer zodat er geen vergeten apparaat achterblijft. Van meedenken en ontwerp tot realisatie, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Meta bouwt eigen cloudtak om AI-rekenkracht te verkopen, aandeel schiet omhoog
Nieuws
6 min

1 jul 18:39

Meta bouwt eigen cloudtak om AI-rekenkracht te verkopen, aandeel schiet omhoog

Meta bouwt volgens een Bloomberg-scoop aan een eigen clouddienst om overtollige AI-rekenkracht te verkopen. Dat maakt het concern een concurrent van AWS, Azure en Google Cloud, en drukt op de neoclouds waar ook Nederlandse bedrijven hun compute inkopen.

Meta start in september productie van eigen AI-chip Iris
Nieuws
4 min

10 jul 02:24

Meta start in september productie van eigen AI-chip Iris

Meta begint in september met de productie van zijn eigen AI-chip Iris en wil zijn rekencapaciteit in 2027 verdubbelen naar 14 gigawatt. Een intern memo dat Reuters inzag legt de compute-strategie onder je cloudrekening bloot.

Europees Parlement dwingt spoedstemming over chatcontrole 1.0 af
Nieuws
3 min

7 jul 16:35

Europees Parlement dwingt spoedstemming over chatcontrole 1.0 af

Het Europees Parlement zette met 331 tegen 304 stemmen een spoedprocedure in gang om chatcontrole 1.0, de vervallen regel voor vrijwillig scannen, donderdag opnieuw ter stemming te brengen.

Anthropic huurt twintig jaar datacenter van TeraWulf voor 19 miljard dollar
Nieuws
4 min

7 jul 08:12

Anthropic huurt twintig jaar datacenter van TeraWulf voor 19 miljard dollar

Anthropic huurt twintig jaar lang een datacentercampus van TeraWulf in Kentucky, goed voor ongeveer 19 miljard dollar. De deal legt de rekenkracht achter Claude voor jaren fysiek vast en toont hoe AI-labs compute opkopen.

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd
Nieuws
6 min

3 jul 14:10

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd

De FBI bracht een officiele waarschuwing uit voor TeamPCP, die breed gebruikte ontwikkel- en beveiligingstools vergiftigde. De concrete raad: installeer een pakket pas na een minimale leeftijd van zeven dagen.

OpenAI zou de Amerikaanse overheid een belang van 5% hebben aangeboden
Nieuws
6 min

2 jul 08:11

OpenAI zou de Amerikaanse overheid een belang van 5% hebben aangeboden

OpenAI besprak volgens de Financial Times een belang van 5% voor de Amerikaanse overheid om politieke druk te verlichten. Noch OpenAI noch het Witte Huis bevestigt het. Wat betekent een overheid als aandeelhouder voor jouw AI-leverancier?