Tarnung für hunderte Hackergruppen

Google und FBI zerschlagen Riesen-Botnetz NetNut

Quelle: DANIEL CONSTANTE / Shutterstock.com

Gemeinsam mit dem FBI hat Google das NetNut-Botnetz mit rund zwei Millionen Geräten blockiert, das von Hunderten Hackergruppen zur Tarnung genutzt wurde.

Google hat in einer koordinierten Operation mit der US-Bundesbehörde FBI, Lumen Technologies und weiteren Sicherheitspartnern das weltweite NetNut-Proxy-Netzwerk maßgeblich beeinträchtigt. Das auch unter dem Namen Popa bekannte Botnetz umfasste nach Schätzungen der Google Threat Intelligence Group mindestens zwei Millionen kompromittierte Heimgeräte weltweit, darunter Smart-TVs, Router und Streaming-Boxen.

Anzeige

Die Betreiber des Netzwerks tarnten bösartigen Datenverkehr, indem sie ihn über die privaten IP-Adressen unverdächtiger Verbraucher umleiteten. Im Zuge des Zugriffs sperrte Google zahlreiche Benutzerkonten und Dienste, die für die Befehls- und Kontrollinfrastruktur der Schadsoftware genutzt wurden. Das FBI beschlagnahmte zudem Hunderte von Domains, die mit dem vom israelischen Unternehmen Alarum Technologies betriebenen Netzwerk in Verbindung standen.

Tarnung für Hunderte kriminelle Hackergruppen

Wohnzimmer-Proxys sind bei Cyberkriminellen und staatlichen Spionagegruppen stark nachgefragt, da Sicherheitswerkzeuge den Datenverkehr von privaten Internetanschlüssen seltener blockieren als den von Rechenzentren. Allein in einer einzigen Woche im Juni 2026 beobachteten die Analysten von Google 316 unterschiedliche Bedrohungscluster, die Ausgangsknoten des NetNut-Netzwerks für Angriffe verwendeten. Die Angreifer nutzten die gekaperten IP-Adressen, um Passwörter massenhaft durchzuprobieren, Schadsoftware-Infrastrukturen anzusteuern oder gezielte Spionage zu betreiben. Zudem wurden Komponenten des Netzwerks mit anderen großen Schadsoftware-Kampagnen wie dem Badbox-2.0-Botnetz in Verbindung gebracht. Google kommentierte die Auswirkungen des jüngsten Einsatzes in einer offiziellen Erklärung:

„Wir glauben, dass unsere koordinierten Aktionen das Proxy-Netzwerk von NetNut und dessen Geschäftsbetrieb erheblich beeinträchtigt haben, wodurch der verfügbare Pool an Geräten für den Proxy-Betreiber um Millionen reduziert wurde.“

Anzeige

Google

Das Geschäftsmodell von NetNut beruhte neben dem direkten Verkauf auch auf einem Reseller-Programm, bei dem andere Anbieter die Infrastruktur unter eigenem Namen vermarkteten.

Verbreitung über versteckte Entwickler-Bibliotheken

Die Geräte der Verbraucher wurden vor allem über bösartige Software-Entwicklungs-Kits in das Botnetz integriert. Diese Programmierbausteine waren in scheinbar kostenlosen Anwendungen oder direkt in der Firmware von günstiger No-Name-Hardware versteckt. Häufig lockten die Apps Nutzer mit dem Versprechen, ungenutzte Bandbreite gegen Bezahlung zu teilen.

Sobald das Gerät als Proxy-Knoten agierte, floss unbemerkt fremder Datenverkehr über den Heimanschluss. Dies gefährdete die Privatsphäre und gab Angreifern die Möglichkeit, auf andere Geräte im selben Heimnetzwerk zuzugreifen. Zum Schutz der Anwender blockiert der integrierte Sicherheitsdienst Google Play Protect auf Android-Geräten nun automatisch Anwendungen, die bekannte NetNut-Komponenten beinhalten, und deaktiviert bestehende Installationen.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.