Das FBI hat am Donnerstag eine der weltweit größten Residential-Proxy-Plattformen zerschlagen. In einer koordinierten Aktion mit Google, dem US-Netzbetreiber Lumen und der Non-Profit-Organisation Shadowserver beschlagnahmten die Ermittler hunderte Domains, die zum Dienst NetNut und dem als Popa bezeichneten Botnetz gehören. Auf der NetNut-Startseite prangt seit dem Vormittag ein Beschlagnahmungshinweis des FBI und der IRS Criminal Investigation, wie Krebs on Security in seiner Chronologie des Zugriffs schreibt.
Betrieben wurde NetNut von der börsennotierten israelischen Alarum Technologies Ltd. (NASDAQ: ALAR). Sicherheitsforscher hatten den Dienst bereits Mitte Juni mit dem Popa-Netz in Verbindung gebracht, einer Infrastruktur, die rund zwei Millionen kompromittierte Geräte umfassen soll. Die zu Lumen gehörenden Black Lotus Labs berichteten Krebs on Security, dass Popa täglich zwischen 1,5 und 2,5 Millionen unterschiedliche IP-Adressen ausspielt. Googles Threat Intelligence Group beobachtete allein in einer einzigen Juni-Woche 316 verschiedene Bedrohungsakteure-Cluster, die NetNut-Exit-Knoten nutzten.
Vom Wohnzimmer ins Cybercrime-Netz
Betroffen sind vor allem billige Android-TV-Boxen, die auf E-Commerce-Plattformen als Streaming-Wunderkisten für hunderte Video-Abos verkauft werden. Nach Untersuchungen der Qurium Media Foundation und des Analysedienstes Synthient stecken die Proxy-SDKs in 42 Prozent der Apps auf LG-Smart-TVs sowie in mehr als 25 Prozent der Anwendungen im Samsung-Tizen-Store. Weitere Verteiler waren nach Angaben der Forscher raubkopierte Streaming-Apps, der Torrent-Client MediaGet und der Dienst RoboVPN. Über das Modul werden die Geräte still zu Weiterleitungsknoten für fremden Internetverkehr umfunktioniert, ohne dass Besitzerinnen und Besitzer davon etwas mitbekommen.
Auf den Radar geraten war das Netz im Mai, als die Website der Arab Reporters for Investigative Journalism (ARIJ) mit einem Scraping-Angriff aus 1,35 Millionen einzelnen IP-Adressen aus 223 Ländern bombardiert wurde. Qurium veröffentlichte daraufhin am 18. Juni einen Bericht, der Popa als embedded Modul der Vo1d-Malware-Kampagne beschrieb und die Datenströme zu NetNut zurückverfolgte. Der deutsche IT-Blog Borncity griff die Analyse eine Woche später auf und wies auf die Konsequenzen für heimische Netze hin: gekaperte Fernseher können Bandbreite abziehen und den Anschluss mit Aktivitäten Dritter verknüpfen.
Dieser Zugriff wird großen Effekt haben, weil NetNut nach der Abschaltung von IPidea deutlich an Popularität gewonnen hat.
Alarum Technologies weist die Vorwürfe zurück. Die Berichte enthielten „nachweislich falsche Behauptungen und fehlerhafte Schlussfolgerungen statt verifizierter Fakten“, erklärte das Unternehmen bereits im Juni. Weder Alarum noch NetNut betrieben die als Popa beschriebene Infrastruktur, hieß es. Die SDKs seien für freiwilliges Bandbreiten-Sharing gedacht und verwandelten Geräte nicht in fernsteuerbare Schadsoftware-Knoten. Der Aktienkurs von ALAR gab nach dem Bekanntwerden der Beschlagnahmung deutlich nach.
Der Zugriff reiht sich in eine Serie von Schlägen gegen kommerzielle Proxy-Dienste ein, die von Sicherheitsforschern zuletzt zunehmend als Cybercrime-Infrastruktur eingestuft wurden. Erst im Frühjahr war der Konkurrent IPidea in ähnlicher Weise zerschlagen worden, wonach viele kriminelle Kunden zu NetNut abwanderten. Google kündigte an, die Sperrlisten in seinen Diensten entsprechend zu aktualisieren; Lumen filtert die betroffenen Netzknoten aus seinem Backbone. Für deutsche Haushalte mit einem der günstigen Android-TV-Sticks bleibt die Frage, ob ihr Gerät stumm mitgemischt hat.