Google en de FBI hebben donderdag een van de grootste verhulnetwerken van het criminele internet neergehaald. In een gezamenlijke operatie, met hulp van telecombedrijf Lumen en de Shadowserver Foundation, verzwakten ze NetNut: een residentieel proxynetwerk dat draaide op meer dan 2 miljoen gekaapte apparaten wereldwijd, van goedkope Android-toestellen tot smart-tv's en streamingboxen in gewone huiskamers.
De kern van zo'n netwerk klinkt onschuldig, maar is precies wat het gevaarlijk maakt. Een residentieel proxynetwerk leidt internetverkeer door de internetverbindingen van nietsvermoedende consumenten. Voor een aanvaller betekent dat: zijn verkeer komt niet vanaf een verdacht datacenter of een bekend Tor-adres, maar vanaf het IP-adres van een willekeurig huishouden in Nederland, Duitsland of de VS. Daarmee glipt kwaadaardig verkeer langs geografische filters, IP-reputatielijsten en de meeste standaard beveiligingsmuren heen.
Van slimme tv tot exit-node
De besmette apparaten werden ongemerkt onderdeel van het netwerk. Volgens Google werden ze geinfecteerd via getrojaniseerde apps en malware zoals Badbox 2.0, die een verborgen proxy-plugin meesmokkelt. Zodra zo'n plugin actief is, verandert het apparaat in een exit-node: het routeert het verkeer van vreemden via het IP-adres van het slachtoffer. De eigenaar merkt er weinig van, behalve dat zijn thuisadres op zwarte lijsten kan belanden omdat er ineens verdacht verkeer vanaf komt.

Juist dat soort apparaten, betaalbare Android-streamingboxen en smart-tv's, vormt de zwakke schakel. Ze staan permanent aan, hangen aan het netwerk, krijgen zelden updates en worden door niemand echt beheerd. Perfect broedmateriaal voor een botnet.
Een verhuurbedrijf voor cybercriminaliteit
Hoe druk het netwerk was, blijkt uit Googles eigen metingen: in een enkele week vorige maand zag het bedrijf 316 verschillende dreigingsclusters die NetNut-exit-nodes gebruikten, van gewone cybercriminelen tot spionagegroepen. Zij gebruikten de verhulde adressen onder meer om op grote schaal wachtwoorden te raden (password-spraying), hun eigen aanvalsinfrastructuur af te schermen en zich toegang te verschaffen tot bedrijfsnetwerken. Precies het type verkeer dat schuilgaat achter fraude, credential stuffing en DDoS-aanvallen.
Achter NetNut zit een opvallende naam: het beursgenoteerde Israelische databedrijf Alarum Technologies, dat het netwerk commercieel exploiteerde en zelfs een reseller-programma had waarmee andere merken de dienst onder eigen naam konden doorverkopen. Alarum liet aan Reuters weten dat de FBI het bedrijf donderdag informeerde over de inbeslagname van een aantal van zijn domeinen en zei volledig mee te werken aan het onderzoek. De FBI onderzoekt de mogelijke banden tussen NetNut en het Popa-botnet naar verluidt al ruim een jaar, meldde Bloomberg.
Google nam netnut.com uit de lucht via de FBI, schakelde de accounts en de command-and-control-infrastructuur uit die het netwerk aanstuurden, en waarschuwde getroffen gebruikers via Play Protect. "We geloven dat onze gecoordineerde acties NetNuts proxynetwerk en bedrijfsvoering aanzienlijk hebben verzwakt, en de beschikbare pool aan apparaten voor de operator met miljoenen hebben verkleind", schrijft Google in zijn analyse van de operatie.
Waarom dit ook een Nederlands bedrijf raakt
Deze ontmanteling volgt op een reeks vergelijkbare acties. Vorige maand haalden Europol en partners in Operatie Endgame meerdere infostealers offline en vonden ze 24 miljoen gestolen inloggegevens, en eerder sleepte Google samen met de FBI een Chinees cybercrime-netwerk voor de rechter dat 2,5 miljoen frauduleuze sms-berichten verstuurde. Het patroon is duidelijk: grote platforms en opsporingsdiensten hakken criminele infrastructuur om, maar de operators bouwen die vaak binnen weken weer op.
Voor een Nederlandse ondernemer zitten er twee lessen in. De eerste is defensief aan de aanvalskant: als aanvallen tegen jouw systemen voortaan vanaf gewone thuis-IP-adressen komen, dan werkt je oude reflex, verdachte landen of datacenters blokkeren, niet meer. Je hebt detectie nodig die naar gedrag kijkt (ongebruikelijke inlogpogingen, onmogelijke reisafstanden, snelheid van aanvragen), niet naar de herkomst van een IP-adres alleen. Zet meervoudige verificatie aan en monitor op password-spraying.
De tweede les gaat over je eigen apparaten. Elke slimme tv, streamingbox, camera of ander IoT-kastje op je bedrijfsnetwerk kan, net als die 2 miljoen huiskamerapparaten, ongemerkt worden ingelijfd. Houd zulke apparaten in beeld, geef ze een eigen, afgeschermd netwerksegment los van je bedrijfsdata, installeer alleen software uit officiele bronnen en let op onverwacht uitgaand verkeer. De grootste verhulling begint bij een vergeten apparaat dat niemand beheert.
Veelgestelde vragen
Grip op je slimme apparaten
Van slimme tv tot ieder IoT-kastje op je netwerk: ik help je in kaart brengen wat er aanstaat, richt veilige, afgeschermde omgevingen in en automatiseer het beheer zodat er geen vergeten apparaat achterblijft. Van meedenken en ontwerp tot realisatie, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
