Google'ın Tehdit İstihbarat Grubu (GTIG), FBI, Lumen ve diğer kuruluşlarla iş birliği yaparak NetNut adlı devasa bir ev cihazı proxy ağını hedef aldı. NetNut, dünya genelinde akıllı TV'ler, akış kutuları ve diğer ev cihazlarına yayılmış en az 2 milyon cihazdan oluşuyor. Bu cihazlar, sahiplerinin haberi olmadan üçüncü tarafların internet trafiğini yönlendirmek için kullanılıyor. Google, ağın kullanılabilir cihaz havuzunu milyonlarca azaltmayı başardığını duyurdu.
NetNut gibi konut proxy ağları, saldırganlara gerçek ev IP adreslerini kullanma imkanı sunuyor. Bu sayede saldırganlar, güvenlik araçları tarafından engellenen veri merkezi trafiği yerine sıradan ev kullanıcısı gibi görünüyor. Cihazlar ya ucuz markalı donanımlara önceden yüklenmiş yazılımla ya da kullanıcıların farkında olmadan yüklediği ücretsiz uygulamalarla ağa dahil ediliyor. GTIG, sadece bir haftada 316 farklı tehdit kümesinin NetNut çıkış düğümlerini kullandığını tespit etti.
NetNut, halka açık İsrail şirketi Alarum Technologies'e ait. Araştırmacılar, NetNut'un Popa olarak bilinen botnet ile aynı ağ olduğunu kanıtladı. Alarum ise bu iddiaları reddederek yazılımlarının kullanıcı onayına dayalı bant genişliği paylaşımı olduğunu savunuyor. Ancak Synthient'in testleri, incelenen 20'den fazla uygulamada hiçbirinin kullanıcılara açık bir onay ekranı göstermediğini ortaya koydu. Google da kendi istihbaratıyla NetNut ve Popa'yı aynı ağ olarak değerlendiriyor.
Sonuç ve Değerlendirme
Google, bu operasyonu bir 'öldürme' değil, 'zayıflatma' olarak nitelendiriyor. Çünkü NetNut'un yeniden satıcı programı sayesinde birçok farklı marka altında hizmet veriyor. Google, daha önce IPIDEA ağına yaptığı müdahalede olduğu gibi, bu ağların dirençli olduğunu ve operatörlerin rakiplerinden kapasite satın alarak yeniden yapılandığını belirtiyor. Kullanıcılara, 'kullanılmayan bant genişliğinizi paylaşın' vaadiyle para teklif eden uygulamalara karşı dikkatli olmaları, resmi uygulama mağazalarını kullanmaları ve bilinmeyen markalı cihazlardan kaçınmaları öneriliyor.