Skip to content
RiverCore
Ликвидация NetNut: Google и ФБР уничтожили ботнет из 2 миллионов устройств
residential proxy botnetNetNut takedownFBI Google operation2 million device botnet dismantledhijacked smart TV proxy network

Ликвидация NetNut: Google и ФБР уничтожили ботнет из 2 миллионов устройств

4 июл 20267 мин. чтенияJames O'Brien

Представьте себе резидентские прокси-ботнеты как городской водопровод: никто не замечает труб, пока канализация не начинает просачиваться в питьевую воду. NetNut был одной из самых толстых магистралей — более двух миллионов захваченных смарт-телевизоров, стриминговых приставок и Android-устройств, прогоняющих трафик злоумышленников через обычные домашние широкополосные подключения. 2 июля Google, ФБР и Служба уголовных расследований налогового ведомства взялись за разводной ключ.

Интересен здесь не масштаб в количестве устройств. Интересно то, как вода стала грязной с самого начала, и почему трубы продолжат работать для того, кто подключится следующим.

Цифры

Начнём с пула устройств. Два миллиона конечных точек — это не маргинальная операция, это серьёзная инфраструктура. Как сообщал Latest Hacking News, исследователи отслеживали сеть под именем Popa, а коммерческий доступ к ней продавался под брендом NetNut. Пул формировался двумя путями: бюджетное оборудование, поставлявшееся с уже встроенным прокси-кодом, и бесплатные приложения со скрытым SDK, который превращал установку в вербовку.

Показатели проникновения SDK по данным Spur должны заставить любого платформенного инженера задуматься. Более 20% приложений Samsung Tizen, которые они проверили, содержали резидентский прокси-SDK. На LG webOS эта цифра составила 42%. Ни одно из них не раскрыло этот факт пользователю надлежащим образом. Каждый, кто хоть раз выпускал мобильный SDK и согласовывал политику конфиденциальности с юридическим отделом, понимает, насколько далеко это выходит за рамки допустимого.

Есть и сторона спроса. Аналитики Google отследили 316 отдельных кластеров угроз, использовавших предполагаемые выходные узлы NetNut в течение одной недели в июне. Не 316 запросов, а 316 самостоятельных кластеров активности злоумышленников. Основным сценарием использования был перебор паролей; скрейпинг контента, рекламное мошенничество и захват аккаунтов дополняли каталог аренды по данным Krebs on Security.

Сама операция по ликвидации проводилась по двум направлениям. Группа Threat Intelligence Google отключила аккаунты и сервисы, которые NetNut использовал для управления и контроля. ФБР и Служба уголовных расследований изъяли сотни доменов, связанных с сетью, при технической поддержке Lumen Technologies, Shadowserver и других партнёров. Затем Google внедрила обнаружение в Play Protect, так что Android-устройства теперь получают предупреждения о приложениях с прокси-кодом, а известные нарушители блокируются автоматически.

Ещё одна цифра, над которой стоит задуматься: это уже вторая крупная операция Google по ликвидации резидентского прокси-ботнета в этом году. IPIDEA был закрыт в январе. Два масштабных уничтожения за полгода говорят о многом — как о масштабах базового рынка, так и о скорости, с которой он способен поглощать потери.

Что действительно нового

Новизна здесь не в том, что ботнет был ликвидирован. Такое случается. Новизна в том, куда ведёт труба.

NetNut восходит к Alarum Technologies — публичной израильской компании, котирующейся на Nasdaq. Не однодневка, не Telegram-аккаунт, а полноценное юридическое лицо с публичными акционерами. Исследователи из Qurium, Synthient, Nokia Deepfield и Spur в июне, по результатам контролируемого тестирования, связали ботнет Popa с NetNut. Юрисконсульт Alarum сообщил Krebs, что компания «серьёзно относится к этому вопросу и будет полностью сотрудничать с правоохранительными органами», тогда как сама компания ранее описывала свой продукт как совместное использование полосы пропускания с согласия пользователей, а не как ботнет.

Эта формулировка рассыпается при столкновении с цифрами по SDK. Если два из пяти протестированных приложений webOS содержат прокси-SDK, о котором пользователю ничего не сообщили, слово «согласие» несёт на себе непосильную нагрузку. Это скучный, но принципиально важный момент: юридическая фикция о том, что потребители согласились пустить чужой трафик по перебору паролей через свой смарт-телевизор, потому что нажали «Принять» в EULA ради просмотра футбольного матча.

Второй действительно новый элемент — реакция на уровне платформы. Play Protect теперь помечает приложения с прокси-кодом NetNut и автоматически блокирует известных нарушителей. Google передала технические сигнатуры SDK и серверной инфраструктуры провайдерам платформ, исследователям и правоохранительным органам. Это сдвиг от «мы отключили аккаунты» к «мы будем продолжать отслеживать паттерн на уровне конечных точек». С инженерной точки зрения распространение сигнатур обнаружения в Play Protect превращает каждое Android-устройство в сенсор. Это принципиально иная позиция, нежели одно лишь изъятие доменов.

Третий относительно новый аспект — многопользовательский характер компрометации. Nokia Deepfield, Spur и Synthient зафиксировали варианты Mirai DDoS, работающие на оборудовании, заражённом NetNut, а плагин NetNut был связан с Badbox 2.0 — Android-ботнетом, операторов которого Google подала в суд в июле 2025 года. Один вредоносный SDK, несколько параллельных криминальных бизнесов, сложенных поверх. Товаром здесь является не ботнет, а root-доступ к устройству.

Что уже учтено инженерными командами

Большинство старших инженеров, работающих со стеками борьбы с мошенничеством, аутентификации или WAF, уже смирились с тем, что репутация резидентских IP — это сломанный сигнал. Это давно принято во внимание. Если вы до сих пор блокируете по ASN дата-центров и называете это защитой от мошенничества, вы отставали ещё до того, как NetNut обрёл своё имя.

Что менее учтено — и над чем, на мой взгляд, стоит подумать — это глубина проблемы цепочки поставок. Ментальная модель большинства команд такова: «вредоносная программа заражает устройство, устройство вступает в ботнет». Реальность здесь ближе к следующей: «SDK поставляется внутри приложения, приложение распространяется через официальный магазин, телевизор сходит с конвейера с уже предустановленным кодом». Компрометация происходит выше того уровня, где конечный пользователь или корпоративная IT-политика могут что-либо реально предотвратить.

Для iGaming- и финтех-платформ это имеет конкретное следствие. Мониторинг попыток входа, опирающийся на логику «разнородные IP с нормальным поведением резидентского ASN равно человек», должен всё активнее смещаться к поведенческим сигналам: каденция запросов, вариативность TLS-отпечатков, телеметрия нажатий клавиш и указателя, анализ графа сессий. Перебор паролей был главным сценарием использования NetNut не случайно — он конструктивно обходит ограничение скорости на уровне IP. Каждый, кто наблюдал, как медленная волна подстановки учётных данных ползёт по конечной точке входа со скоростью восемь запросов в час с каждого IP, знает эту картину.

Что действительно удивляет — и, вероятно, ещё не учтено — это то, как быстро Google готова сжигать собственную аккаунтную инфраструктуру ради разрушения этих сетей. Отключение аккаунтов Google, которые NetNut использовал для управления и контроля, — дёшево само по себе, но это сигнализирует о том, что GTIG рассматривает данный класс злоупотреблений как стратегический, а не реактивный. Два уничтожения за один год говорят о программе, а не о разовой акции.

Контраргумент

Вот где я бы возразил торжествующей трактовке происходящего. Сам Google охарактеризовал операцию против NetNut как «значительное ослабление» сети и её бизнеса, а не как уничтожение. Эта формулировка несёт важную нагрузку.

Отдельные резидентские прокси-провайдеры структурно устойчивы, потому что опираются друг на друга. Когда один пул получает удар, провайдеры покупают свободные мощности у конкурирующих сетей и перепродают их под собственным брендом. Рынок похищенной резидентской полосы пропускания взаимозаменяем так, как рынок, скажем, аффилированных группировок вымогателей — нет. Вы ликвидируете NetNut, спрос перемещается к тому бренду, который ещё держится, а SDK внутри этих двух миллионов устройств не деинсталлируются сами по себе в одночасье.

Более сложная проблема заключается в том, что экономический стимул встраивать прокси-SDK в бесплатные приложения никуда не исчез. Цифры 20% для Tizen и 42% для webOS описывают целую экосистему, а не одного плохого актора. Пока процессы проверки приложений в магазинах Tizen, webOS и Android не начнут рассматривать нераскрытые прокси-SDK как нарушение политики с реальными последствиями, канал вербовки остаётся открытым. Совместное использование полосы пропускания с согласия как бизнес-модель никуда не денется — просто обзаведётся чуть более грамотными юристами.

Ключевые выводы

  • Репутация резидентских IP мертва как сигнал для борьбы с мошенничеством. При проникновении SDK, достигающем 42% в некоторых экосистемах приложений, считать потребительские IP-диапазоны изначально надёжными — проигрышная ставка. Переносите вес на поведенческие сигналы и анализ графа сессий.
  • Цепочка поставок уходит выше уровня устройства. Когда телевизоры поставляются уже заражёнными, а SDK едут внутри приложений из официальных магазинов, проблема решается не на уровне безопасности конечных точек, а на уровне политик проверки платформ.
  • Рассчитывайте на перебор паролей в масштабе потребительских IP. Самый распространённый сценарий использования NetNut конструктивно обходит ограничение скорости на уровне IP. Ограничивайте по идентификатору и поведению, а не по IP.
  • Одно скомпрометированное устройство вмещает нескольких криминальных арендаторов. Варианты Mirai и плагины Badbox 2.0 работали на одном железе. Обнаружение должно искать базовый доступ, а не конкретную полезную нагрузку.
  • Рассчитывайте на появление следующего бренда в течение нескольких месяцев. IPIDEA в январе, NetNut в июле. Инфраструктура переживает бренд, и сам Google назвал произошедшее ослаблением, а не уничтожением.

Возвращаясь к водопроводной метафоре. Можно перекрыть одного поставщика, но если два из пяти кранов в городе тихо подключены к одной подземной сети, проблема утечки — это проблема городского масштаба, а не сантехническая. NetNut исчез с карты. Трубы никуда не делись.

Часто задаваемые вопросы

В: Что такое резидентский прокси-ботнет и чем он опасен?

Это сеть потребительских устройств — телефонов, смарт-телевизоров, стриминговых приставок, — интернет-соединения которых используются для маршрутизации чужого трафика без реального согласия пользователя. Опасность в том, что трафик злоумышленников выглядит как исходящий с обычных домашних IP-адресов, что обходит системы защиты от мошенничества, опирающиеся на репутацию IP для выявления ботов, VPN или трафика дата-центров.

В: Как NetNut попал на два миллиона устройств?

Двумя путями. Часть бюджетных смарт-телевизоров и приставок поставлялась с заводов с уже установленным прокси-кодом. Другие заражались при установке бесплатных приложений со скрытым SDK — Spur обнаружил этот паттерн в более чем 20% приложений Samsung Tizen и 42% приложений LG webOS из числа проверенных, и ни одно не раскрывало это пользователю надлежащим образом.

В: Действительно ли ликвидация NetNut остановит злоупотребления резидентскими прокси?

Вероятно, ненадолго. Сам Google охарактеризовал операцию как «значительное ослабление», а не уничтожение, и отдельные прокси-провайдеры регулярно закупают свободные мощности у конкурентов, когда их собственный пул получает удар. Это уже второе подобное уничтожение в 2025 году после IPIDEA в январе, и базовая цепочка поставок SDK так и не была исправлена.

JO
James O'Brien
RiverCore Analyst · Dublin, Ireland
ПОДЕЛИТЬСЯ
// ПОХОЖИЕ СТАТЬИ
ГлавнаяРешенияПроектыО насКонтакт
Новости06
Дублин, Ирландия · ЕСGMT+1
LinkedIn
🇷🇺RU