Egy titkos botnet a lakásodban
A lakossági proxybotnetek lényege, hogy a rosszindulatú hálózati forgalmat hétköznapi internetes jelenlétnek álcázzák, így a kibertámadóknak nem kell saját IP-címet használniuk. Ezáltal a támadók szinte láthatatlanul élhetnek vissza bárki otthoni internetével: a fertőzött eszközökön előre telepített kártékony szoftverek miatt a megszokott házi védelem semmit sem ér.
2024-ben az XLab kutatói rengeteg feltört, zömében márkátlan Android TV-eszközt azonosítottak. Ezeket a gépeket a Vo1d botnet fertőzte meg, így a Department of Housing and Urban Development hírhedt tévés botránya is ezzel magyarázható. Ugyanitt bukkantak rá a Popa nevű bővítményre, amely eredetileg felhasználói hozzájárulással teszi proxyvá az eszközt – ám a hackerek itt engedély nélkül telepítették a fertőzött TV-kre.
Kibertámadók az otthoni TV-d mögött
Továbbá a botnethez tartozó eszközök lehetőséget adtak arra, hogy hackerek érzékeny információkat gyűjtsenek, adatokat szedjenek ki, vagy akár közvetlenül átvegyék az irányítást az eszközök felett. Mindezt úgy, hogy a támadó tulajdonképpen a szomszéd IP-címével dolgozott, nem a sajátjával.
A NetNut a lakossági proxyhálózatok egyik legnagyobb üzemeltetője volt világszerte, az Izraelből származó Alarum Technologies tulajdonában állt. A cég szolgáltatásait bárki legálisan igénybe vehette: vállalatok biztonsági tesztelésre, hirdetésellenőrzésre vagy földrajzi tartalomkorlátozások áthidalására is használták. Azonban hamar kiderült, hogy a NetNut rendszere lehetőséget adott rosszindulatú felhasználóknak is, akik így könnyen hozzáférhettek a fertőzött botnethez.
Hogyan sikerült lekapcsolni a NetNut hálózatát?
Az FBI július 2-án egy koordinált akció során, bírósági engedély alapján több domaint foglalt le, amelyeken keresztül a NetNut a hálózatát üzemeltette. A Google, a Lumen Technologies és a Shadowserver Foundation is részt vett az akcióban. Az eredmény jelentős: a NetNut proxyhálózata és üzleti működése gyakorlatilag leállt, hiszen több millió eszközt veszítettek el a rendszerből. A NetNut weboldalát jelenleg egy elkobzási figyelmeztetés helyettesíti.
Azonban a harc ezzel még nem ért véget: mivel ezek a proxyhálózatok egymás között is adják-veszik a botnetekhez való hozzáférést, egyetlen szereplő kiiktatása még nem oldja meg a problémát véglegesen.
Hogyan kerülheted el, hogy áldozat legyél?
A legtöbb fertőzött eszköz névtelen, márkátlan Android TV-lejátszó, amelyeket olcsón lehet beszerezni online áruházakból. Ezekben sokszor eleve vírusos szoftver fut, főként mert elavult Android-verziót használnak, amelyek védtelenek az újabb támadásokkal szemben. Az Instagramon és TikTokon gyakran hirdetett „egyszer fizetsz, utána ingyenes” TV-boxok többségén már gyárilag fut a botnetkliens.
Ezért érdemes csak márkás, ismert gyártótól (például Sony, Nvidia, Google) vásárolni, illetve ellenőrizni a rendszeres biztonsági frissítések meglétét. Távol kell maradni a közösségi médián reklámozott gyanús, előfizetésmentes eszközöktől, mert ezek jó eséllyel fertőzöttek.
Nemcsak TV-k, hanem minden okosotthon-eszköz veszélyben lehet, ezért itt is csak megbízható, naprakész rendszerek használata ajánlott. Emellett az újabb kártevők akár már a beépített MI segítségével is támadhatnak.
Légy résen a filléres kütyükkel!
Ez az eset is remekül példázza, mennyire veszélyes lehet a gyanúsan olcsó, influenszerek által reklámozott okostechnika. Egy rossz döntés elég ahhoz, hogy valaki egy botnet áldozatává, vagy akár személyes adatlopás célpontjává váljon. A legfontosabb: használj erős jelszót, kerüld a gyanús e-maileket, és soha ne oszd meg személyes adataidat ismeretlenekkel az interneten!
