Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не знал

Google совместно с ФБР и компанией Lumen провела операцию против одной из крупнейших в мире жилых прокси-сетей под названием NetNut, которую исследователи также отслеживают под именем Popa. Сеть охватывала не менее двух миллионов домашних устройств — умных телевизоров, стриминговых приставок и прочей бытовой электроники. Операция, по собственному признанию Google, лишь деградировала инфраструктуру, но не уничтожила её полностью.
Суть жилых прокси-сетей в том, что они торгуют реальными домашними IP-адресами. Тот, кто платит за доступ к такой сети, направляет свой трафик через чужой холодильник или телевизор и выглядит в интернете как обычный домашний пользователь. Охранные системы, которые легко блокируют запросы из дата-центров, пропускают такой трафик без вопросов. Именно это делает подобные сети привлекательными и для киберпреступников, и для шпионских группировок.
Группа исследователей — Qurium, Synthient, Nokia Deepfield и Spur — в июне связала сеть Popa с NetNut и опубликовала результаты через The Hacker News. Они провели контрольный эксперимент: отправили трафик через коммерческий шлюз NetNut, и он вышел через устройство, зарегистрированное в Popa. Это прямо указывало на единую инфраструктуру. Тогда же, в июне, аналитическая группа Google GTIG за одну неделю насчитала 316 отдельных кластеров угроз, использовавших выходные узлы NetNut. Через эти узлы запускались атаки с перебором паролей, скрывалась реальная геолокация злоумышленников, работали как криминальные, так и шпионские операции.
Устройства попадали в сеть двумя путями. Первый — прошивка вшивалась прямо на производстве в дешёвое оборудование без имени, которое продавалось ничего не подозревающим покупателям. Второй — прокси-клиент прятался внутри бесплатных приложений. Synthient проверила более 20 таких приложений. Ни одно из них не показывало пользователю реального запроса согласия. Заражённое устройство становилось выходным узлом: чужой трафик входил в домашнюю сеть, а домашний IP получал всю ответственность за любые вредоносные действия, прошедшие через него. Именно домашние устройства с такими адресами оказывались втянуты в крупные ботнеты вроде Mirai и Badbox 2.0.
Что делает NetNut нетипичной историей — так это её владелец. За сетью стоит Alarum Technologies, израильская публичная компания, торгующаяся на NASDAQ под тикером ALAR. Большинство прокси-ботнетов принадлежат анонимным операторам, здесь же след ведёт к раскрытому юридическому лицу. Кроме того, NetNut запустила программу реселлеров: другие компании покупают доступ к той же пул-сети и продают её уже под собственными брендами. Google прямо указывает, что многие на вид независимые прокси-сервисы фактически перепродают мощности одного и того же пула NetNut.
Alarum отвергла формулировку «ботнет» и назвала выводы исследователей «явно неточными утверждениями и ошибочными умозаключениями, а не верифицированными фактами», настаивая на том, что её программное обеспечение основано на добровольном разделении трафика и не компрометирует устройства. Проверка Synthient с двадцатью с лишним приложениями без единого реального запроса согласия этому противоречит.
NetNut стала не первой такой целью в 2025 году. В январе Google вместе с партнёрами уже демонтировала IPIDEA — китайскую сеть, которая на пике была одной из крупнейших в своём классе. После того удара операторы IPIDEA стали просто покупать мощности у конкурентов и превратились в реселлеров. В июле 2025 года Google подала в суд на операторов Badbox 2.0 — ботнета из взломанных Android TV-устройств, чья инфраструктура частично пересекалась с Popa.
Программа реселлеров — вот что делает разовый удар малоэффективным. Когда один узел инфраструктуры ликвидируется, трафик не исчезает: он просто перетекает к другому провайдеру, работающему под другим брендом, но зачастую использующему те же пулы. Google прямо говорит, что реальный ущерб можно нанести только одновременным ударом по нескольким связанным провайдерам. Ближайший сигнал для наблюдения: появится ли трафик, связанный с NetNut, под брендами её реселлеров.
Для обычного пользователя самый чёткий предупредительный знак — любое приложение, предлагающее деньги за «свободный трафик» или «раздачу интернета». Из практических шагов: устанавливать приложения только из официальных магазинов, проверять разрешения, которые запрашивают VPN и прокси-программы, держать Google Play Protect включённым и при покупке стриминговых приставок или умных телевизоров выбирать продукцию известных производителей, а не безымянные устройства с неизвестным происхождением прошивки.


Новое на сайте

Ссылка