Milioni di dispositivi smart trasformati in complici silenziosi di attività criminali senza che i legittimi proprietari se ne accorgessero: è questo il cuore della maxi operazione che ha visto Google e l’FBI collaborare per smantellare una delle più grandi reti di proxy residenziali mai individuate. Per anni, gruppi criminali e operatori di cyberspionaggio hanno nascosto il traffico delle loro attività dietro indirizzi IP domestici apparentemente puliti, sfruttando televisori, box per lo streaming e altri apparecchi collegati a Internet nelle case di persone comuni.
L’intervento coordinato punta dritto al mercato dei residential proxy, un settore che negli ultimi anni ha assunto un peso notevole nelle campagne di attacco informatico. La rete coinvolta contava almeno due milioni di dispositivi compromessi sparsi in diversi paesi, tutti convertiti in nodi di inoltro per traffico malevolo senza che nessuno avesse dato il proprio consenso.
Come funzionava la rete NetNut
Le indagini hanno messo in luce un’infrastruttura enorme legata a NetNut, collegata anche alla botnet nota come Popa. Un gran numero di apparecchi di uso comune, dalle smart TV ai box Android pensati per lo streaming fino a vari dispositivi IoT, finiva per diventare uno snodo attraverso cui far passare il traffico Internet. Chi comprava servizi di proxy poteva così indirizzare le proprie connessioni attraverso abitazioni reali, non dai soliti datacenter che i sistemi di sicurezza riconoscono al volo. Il risultato? Distinguere il traffico legittimo da quello dannoso diventava un rompicapo.
Il motivo è semplice. Un indirizzo IP domestico gode di una reputazione migliore rispetto a quella di un server cloud. Ecco perché i criminali informatici usano queste reti per attività come password spraying, credential stuffing, scraping automatizzato, frodi pubblicitarie e phishing. Le analisi del Google Threat Intelligence Group parlano di centinaia di gruppi criminali che hanno sfruttato questa infrastruttura, non per colpire direttamente chi possedeva i dispositivi, ma per usarne la connessione come porta d’uscita verso le vittime scelte.
L’intervento coordinato e i rischi per gli utenti
L’operazione non si è fermata al sequestro di qualche dominio. Google ha disattivato gli account collegati all’infrastruttura di comando e controllo, ha condiviso gli indicatori tecnici con partner e autorità investigative e ha aggiornato Google Play Protect per riconoscere e bloccare le applicazioni contenenti i componenti software legati alla rete. Stando alle stime dell’azienda, queste mosse hanno ridotto di milioni i dispositivi utilizzabili, anche se gli esperti tengono a precisare che non si tratta di un colpo definitivo all’intera infrastruttura.
Quando un dispositivo entra a far parte di una botnet di proxy residenziali, il proprietario magari non subisce un danno immediato, ma espone il proprio indirizzo IP ad attività illecite, con possibili rallentamenti della rete e un consumo di banda fuori dal normale. L’FBI invita a fare particolare attenzione ai dispositivi Android non certificati e alle app installate da marketplace non ufficiali, ricordando che alcune infezioni arrivano già preinstallate direttamente dal produttore.
Le contromisure più efficaci restano abbastanza alla portata di tutti: comprare dispositivi certificati, tenere aggiornati firmware e sistema operativo, evitare software di provenienza dubbia e non disattivare le protezioni integrate come Play Protect. Vale anche la pena controllare ogni tanto quali dispositivi risultano collegati al router di casa, così da cogliere subito eventuali anomalie nel traffico generato.