Google'ın Tehdit İstihbarat Grubu (GTIG), FBI ve Lumen ile ortaklaşa yürüttüğü operasyonla, dünya genelinde 2 milyondan fazla ev cihazını kapsayan NetNut (diğer adıyla Popa) konut proxy ağını büyük ölçüde etkisiz hale getirdi. NetNut, akıllı TV'ler, akış kutuları ve diğer ev cihazlarına bulaşarak bunları kiralanmış çıkış düğümlerine dönüştüren bir botnet ağı. Bu sayede saldırganlar, masum kullanıcıların internet bağlantıları üzerinden trafiklerini yönlendirerek siber saldırılarını gizleyebiliyor. Google, müdahale sonucu ağın kullanılabilir cihaz sayısını milyonlarca azalttığını belirtti.
Nasıl çalışıyor? NetNut, ev cihazlarına yerleştirdiği yazılımla onları 'çıkış düğümüne' dönüştürüyor. Bu yazılım, bazı ucuz markalı cihazlarda fabrika çıkışı yüklü gelirken, bazı durumlarda kullanıcıların farkında olmadan ücretsiz uygulamalarla birlikte yükleniyor. Bir kez etkinleştiğinde, cihaz üzerinden geçen trafik, kötü niyetli kişilerin kimliklerini gizlemesine ve parola kırma saldırıları gibi eylemler gerçekleştirmesine olanak tanıyor. Google, Haziran ayında bir haftada 316 farklı tehdit kümesinin NetNut çıkış düğümlerini kullandığını tespit etti. Ayrıca, bu cihazlar Mirai ve Badbox 2.0 gibi büyük botnet saldırılarında da kullanılmış durumda.
NetNut'un arkasındaki şirket: Diğer proxy botnetlerinden farklı olarak NetNut, halka açık bir şirkete dayanıyor. İsrail merkezli Alarum Technologies (NASDAQ: ALAR) bünyesindeki NetNut, araştırmacılar tarafından Popa ile ilişkilendirildi. Synthient, Nokia Deepfield ve Spur'dan araştırmacılar, NetNut'un ticari ağ geçidine gönderdikleri trafiğin, Popa'ya kayıtlı bir cihazdan çıktığını kanıtladı. Alarum ise araştırmayı reddederek yazılımlarının kullanıcı onayına dayandığını ve cihazları tehlikeye atmadığını savunuyor. Ancak Synthient, incelediği 20'den fazla uygulamanın hiçbirinde kullanıcılara onay istemi gösterilmediğini raporladı.
Kullanıcılar ne yapmalı? En net uyarı işareti, 'kullanılmayan bant genişliğiniz karşılığında para kazanın' veya 'internetinizi paylaşın' vaadi sunan uygulamalardır. Bunun dışında, yalnızca resmi uygulama mağazalarını kullanmak, VPN veya proxy uygulamalarının istediği izinleri kontrol etmek, Google Play Protect gibi yerleşik korumaları etkin tutmak ve bilinmeyen markalardan akış kutusu veya akıllı TV satın almamak önemlidir. Google, bu ağların kalıcı olarak yok edilmesinin zor olduğunu, çünkü operatörlerin rakip ağlardan kapasite satın alarak yeniden yapılanabildiğini belirtiyor. Alarum, FBI'ın bazı alan adlarına el koyduğunu doğrularken, şirket yetkilileri soruşturmaya tam işbirliği yapacaklarını açıkladı.