Vladimir - stock.adobe.com

Démantèlements de proxys résidentiels : au tour de NetNut

Le réseau de proxies résidentiels NetNut n'est plus. Après SocksEscort et Ipidea, c'est le troisième qui tombe depuis le début de l'année.

Les proxys résidentiels exploitent des adresses IP attribuées par les fournisseurs d'accès à Internet, en détournent des appareils domestiques, tels que des routeurs ou des objets connectés. Ces adresses sont recherchées par les acteurs malveillants car elles ne sont pas systématiquement référencées comme des serveurs VPN ou des hébergeurs, ce qui réduit considérablement le risque de blocage. L'utilisation de ces adresses permet aux attaquants de masquer l'origine réelle de leurs connexions.

Ces serveurs mandataires sont particulièrement prisés pour plusieurs usages : lancer des campagnes de déni de service distribué (DDoS), effectuer du balayage de réseau à la recherche d’hôtes vulnérables, ou masquer la source et la destination de flux réseau illégitimes. L'exploitation de ces adresses se fait à l'insu des clients finaux, qui peuvent voir leur trafic légitime signalé comme suspect.

NetNut et IPIDEA : l'exploitation via les SDK

Le réseau NetNut, l'un des plus vastes, et son prédécesseur Ipidea, illustrent l'exploitation massive via des kits de développement logiciel (SDK). Les opérateurs de ces réseaux distribuent des SDK qui inscrivent subrepticement les appareils des utilisateurs au réseau.

Google Threat Intelligence Group estime que le réseau NetNut compte plusieurs millions d'appareils répartis dans le monde. Ces appareils, souvent des téléviseurs intelligents ou des boîtiers de streaming, sont mobilisés pour des opérations telles que le balayage de réseau ou le password spraying.

Face à cette menace, Google a coordonné une action avec le FBI et d'autres partenaires. Cette opération a inclus la désactivation des comptes Google utilisés pour le commandement et le contrôle de NetNut, ainsi que le partage de renseignements techniques sur les SDK et l'infrastructure C2. GTIG a également veillé à ce que Google Play Protect avertisse les utilisateurs et bloque les applications intégrant les SDK NetNut. Google a souligné que, bien que ces actions aient causé une dégradation significative, l'écosystème est fluide, les opérateurs pouvant simplement acheter de la capacité auprès de concurrents.

Une luttre qui s'intensifie

Cette intervention contre NetNut et, avant lui, Ipidea, s'inscrit dans un effort systématique de perturbation des réseaux de proxies résidentiels. Mi-mars, c'est le réseau SocksEscort qui a été touché. Ce réseau était alimenté par le malware AVRecon

AVRecon, conçu en C, exploite des vulnérabilités de type RCE et des injections de commande sur des équipements de bordure, notamment des routeurs domestique. L'opération internationale de neutralisation de SocksEscort a impliqué une coalition d'agences, incluant le FBI, Europol, et l'Office Anti-Cybercriminalité (OFAC) français.

Pour approfondir sur Menaces, Ransomwares, DDoS