Google e FBI smantellano una botnet con milioni di dispositivi smart

Google e FBI colpiscono NetNut: come milioni di dispositivi smart sono stati usati per nascondere attacchi informatici.

Una rete composta da milioni di dispositivi domestici connessi ha permesso per anni a gruppi criminali e operatori di cyberspionaggio di nascondere il traffico delle proprie attività dietro indirizzi IP residenziali apparentemente legittimi.

L’operazione coordinata annunciata da Google insieme all’FBI rappresenta uno degli interventi più significativi contro le infrastrutture di residential proxy, un mercato che negli ultimi anni ha assunto un ruolo centrale nelle campagne di attacco informatico. Secondo le informazioni diffuse dai ricercatori coinvolti, la rete interessata comprendeva almeno due milioni di dispositivi compromessi distribuiti in numerosi paesi, trasformati senza il consenso dei proprietari in nodi di inoltro per traffico malevolo su scala globale.

Come funzionava la rete NetNut

Le indagini hanno individuato una vasta infrastruttura associata a NetNut, collegata anche alla botnet conosciuta come Popa. Numerosi dispositivi consumer, tra cui smart TV, box Android per lo streaming e altri apparati IoT, venivano trasformati in nodi di inoltro del traffico Internet. Chi acquistava servizi di proxy poteva così far transitare le proprie connessioni attraverso abitazioni reali invece che da datacenter facilmente identificabili dai sistemi di sicurezza, rendendo più complessa la distinzione tra traffico legittimo e malevolo.

Un indirizzo IP domestico gode generalmente di una reputazione migliore rispetto a quella di un server cloud. Per questo motivo i criminali informatici sfruttano tali reti per password spraying, credential stuffing, scraping automatizzato, frodi pubblicitarie e phishing.

Le analisi di Google Threat Intelligence Group indicano che centinaia di cluster criminali hanno utilizzato questa infrastruttura, non per compromettere direttamente gli utenti finali, ma per sfruttarne la connessione come punto di uscita verso le vittime designate.

L’intervento coordinato e i rischi

L’operazione non si è limitata al sequestro di alcuni domini. Google ha disattivato account legati all’infrastruttura di comando e controllo, condiviso indicatori tecnici con partner e autorità investigative, e aggiornato Google Play Protect per rilevare e bloccare applicazioni contenenti i componenti software associati alla rete. Secondo le stime pubblicate dall’azienda, queste azioni hanno ridotto di milioni il numero di dispositivi utilizzabili, sebbene gli esperti sottolineino che non si tratta di un’eliminazione definitiva dell’intera infrastruttura.

Quando un dispositivo entra a far parte di una botnet di proxy residenziali, il proprietario può non subire un danno immediato ma espone inconsapevolmente il proprio indirizzo IP ad attività criminali, con possibili rallentamenti della rete e consumo anomalo di banda. L’FBI raccomanda particolare attenzione ai dispositivi Android non certificati e alle applicazioni installate da marketplace non ufficiali, ricordando che alcune infezioni vengono precaricate direttamente dal produttore.

Le misure più efficaci rimangono relativamente semplici: acquistare dispositivi certificati, mantenere aggiornati firmware e sistema operativo, evitare software da fonti non affidabili e non disattivare le protezioni integrate come Play Protect. È inoltre consigliabile monitorare periodicamente quali dispositivi risultano collegati al router domestico, individuando eventuali anomalie nel traffico generato.

Ti consigliamo anche

Link copiato negli appunti