Ліквідація NetNut: Google та FBI знешкодили ботнет із 2 млн пристроїв
Уявіть резидентські проксі-ботнети як міський водогін: ніхто не звертає уваги на труби, поки каналізація не починає потрапляти в питну воду. NetNut був одним із найбільших колекторів — понад два мільйони зламаних смарт-телевізорів, стримінгових приставок та Android-пристроїв, що пропускали трафік зловмисників через звичайні домашні широкосмугові з'єднання. 2 липня Google, FBI та Кримінальна служба розслідувань IRS взялися за гайковий ключ.
Цікаве тут не кількість пристроїв. Цікаво те, як вода стала брудною, і чому труби продовжуватимуть працювати для наступного, хто до них підключиться.
Цифри
Почнемо з пулу пристроїв. Два мільйони кінцевих точок — це не маргінальна операція, це серйозна інфраструктура. Як повідомляє Latest Hacking News, дослідники відстежували мережу під назвою Popa, а доступ до неї продавався комерційно під брендом NetNut. Пул формувався двома шляхами: бюджетне обладнання, що постачалося з уже вбудованим проксі-кодом, та безкоштовні застосунки із прихованим SDK, який перетворював встановлення на вербування.
Показники проникнення SDK від Spur мають насторожити будь-якого платформенного інженера. Понад 20% застосунків Samsung Tizen, які вони досліджували, містили резидентський проксі-SDK. На LG webOS цей показник становив 42%. Жоден із них не повідомляв про це користувача належним чином. Будь-хто, хто коли-небудь випускав мобільний SDK і погоджував політику конфіденційності з юридичним відділом, розуміє, наскільки далеко це виходить за межі норм.
Є й сторона попиту. Аналітики Google відстежили 316 окремих кластерів загроз, що використовували підозрювані вихідні вузли NetNut протягом одного тижня у червні. Не 316 запитів — 316 окремих кластерів активності зловмисників. Домінуючим сценарієм використання був перебір паролів, а перебір вмісту, рекламне шахрайство та захоплення облікових записів доповнювали каталог оренди, за даними Krebs on Security.
Сама ліквідація відбулася у два етапи. Група Threat Intelligence Google відключила облікові записи та сервіси, які NetNut використовував для командування та управління. FBI та Кримінальна служба розслідувань IRS вилучили сотні доменів, пов'язаних із мережею, за технічної підтримки Lumen Technologies, Shadowserver та інших партнерів. Потім Google впровадив виявлення у Play Protect, щоб Android-пристрої отримували попередження про застосунки з проксі-кодом, а відомих порушників автоматично вимикали.
Ще одна цифра, варта уваги: це вже друге велике знешкодження резидентського проксі-ботнету від Google за рік. IPIDEA було ліквідовано у січні. Два масштабні знешкодження за шість місяців говорять як про масштаби базового ринку, так і про швидкість, із якою він може поглинати втрати.
Що справді нового
Нове тут не те, що ботнет було знешкоджено. Ліквідації трапляються. Новим є корпоративна адреса, до якої веде водогін.
NetNut пов'язаний з Alarum Technologies — публічною ізраїльською компанією, що котирується на Nasdaq. Не підставна структура, не Telegram-акаунт — реальна юридична особа з публічними акціонерами. Дослідники з Qurium, Synthient, Nokia Deepfield та Spur пов'язали ботнет Popa з NetNut через контрольоване тестування у червні. Юридичний радник Alarum повідомив Krebs, що компанія «ставиться до цього питання серйозно та повністю співпрацюватиме з правоохоронними органами», тоді як раніше сама компанія описувала свій продукт як спільне використання пропускної здатності за згодою, а не як ботнет.
Ця риторика не витримує зіставлення з показниками SDK. Якщо двоє з п'яти застосунків webOS, що ви тестували, містять проксі-SDK, про який користувачу ніколи не повідомляли, то слово «згода» несе надто велике навантаження. Ось нудна суть, яка має значення: юридична фікція про те, що споживачі погодилися пропускати чужий трафік перебору паролів через свій смарт-телевізор, бо клікнули EULA, щоб подивитися футбол у стрімінгу.
Другий справді новий елемент — це реакція на рівні платформи. Play Protect тепер позначає застосунки, що містять проксі-код NetNut, та автоматично вимикає відомих порушників. Google поділився технічними відбитками SDK та бекенд-інфраструктури з провайдерами платформ, дослідниками та правоохоронними органами. Це зміщення від «ми відключили облікові записи» до «ми продовжуватимемо шукати патерн на рівні кінцевих точок». З інженерної точки зору, розповсюдження сигнатур виявлення до Play Protect перетворює кожен Android-пристрій на сенсор. Це принципово інша позиція, ніж лише вилучення домену.
Третій відносно новий аспект — багатоорендна природа компрометації. Nokia Deepfield, Spur та Synthient задокументували варіанти Mirai DDoS на зараженому NetNut обладнанні, а плагін NetNut пов'язаний із Badbox 2.0 — Android-ботнетом, оператори якого були притягнуті Google до суду у липні 2025 року. Один шкідливий SDK — кілька паралельних злочинних бізнесів поверх. Товар тут не ботнет, а root-доступ до пристрою.
Що вже враховано для інженерних команд
Більшість старших інженерів, що керують стеками захисту від шахрайства, автентифікації або WAF, уже прийняли той факт, що репутація резидентських IP — це зламаний сигнал. Це враховували вже давно. Якщо ви досі блокуєте за ASN датацентрів і називаєте це захистом від шахрайства, ви відставали ще до того, як NetNut отримав назву.
Те, що ще не враховано — і над чим, на мою думку, варто замислитися — це глибина проблеми ланцюжка постачання. Більшість команд мислять так: «шкідливе ПЗ заражає пристрій, пристрій приєднується до ботнету». Реальність тут ближча до: «SDK постачається всередині застосунку, застосунок поширюється через офіційний магазин, телевізор постачається із заводу з уже встановленим кодом». Компрометація відбувається вище за будь-що, що кінцевий користувач або корпоративна IT-політика може реально перехопити.
Для платформ iGaming та фінтех це має конкретні наслідки. Моніторинг спроб входу, що спирається на «різноманітні IP із нормальною поведінкою резидентського ASN — означає людину», повинен дедалі більше зміщуватися до поведінкових сигналів: ритм запитів, варіативність TLS-відбитків, телеметрія натискань клавіш та покажчика, аналіз графу сесій. Перебір паролів був найпоширенішим сценарієм використання NetNut не випадково — він за самою конструкцією обходить обмеження за IP. Будь-хто, хто спостерігав, як повільна хвиля підбору облікових даних повзе по кінцевій точці входу зі швидкістю восьми запитів на годину з однієї IP-адреси, знає цю схему.
Що дійсно дивує — і, мабуть, ще не враховано — це готовність Google спалити власну облікову інфраструктуру заради знешкодження цих мереж. Відключення облікових записів Google, що використовувалися NetNut для командування та управління, — дешевий хід у відриві від контексту, але він сигналізує, що GTIG розглядає цей клас зловживань як стратегічну, а не реактивну загрозу. Два знешкодження за один рік вказують на програму, а не на разовий захід.
Контраріанська точка зору
Ось де я б заперечив переможному читанню. Сам Google описав дії проти NetNut як «суттєве погіршення» мережі та її бізнесу, а не знищення. Це формулювання виконує важливу роль.
Окремі провайдери резидентських проксі структурно стійкі, бо спираються один на одного. Коли один пул зазнає удару, провайдери купують вільні потужності в конкурентів і перепродають їх під власним брендом. Ринок краденої резидентської пропускної здатності є взаємозамінним у спосіб, який ринок, скажімо, афілійованих команд ransomware — ні. Ви знищуєте NetNut, попит переходить до будь-якого бренду, що ще тримається, а SDK всередині тих двох мільйонів пристроїв не деінсталюють себе в одну ніч.
Складніша проблема полягає в тому, що економічний стимул вбудовувати проксі-SDK у безкоштовні застосунки не змінився. Цифри 20% для Tizen і 42% для webOS описують цілу екосистему, а не одного поганого актора. Доки процеси перевірки в магазинах застосунків для Tizen, webOS та Android не почнуть розглядати нерозкриті проксі-SDK як порушення правил із реальними наслідками, канал вербування залишається відкритим. Спільне використання пропускної здатності за згодою як бізнес-модель нікуди не зникне — просто отримає трохи кращих юристів.
Ключові висновки
- Репутація резидентських IP як сигнал шахрайства мертва. Із проникненням SDK до 42% в деяких екосистемах застосунків ставитися до діапазонів споживчих IP як до довірених — програшна стратегія. Перекладіть вагу на поведінкові сигнали та сигнали графу сесій.
- Ланцюжок постачання починається вище за пристрій. Коли телевізори постачаються вже зараженими, а SDK потрапляють всередину застосунків офіційних магазинів, безпека кінцевих точок не вирішить цю проблему. Її вирішать правила перевірки платформ.
- Розраховуйте на перебір паролів у масштабах споживчих IP. Найпоширеніший сценарій використання NetNut за конструкцією обходить обмеження за IP. Встановлюйте ліміти за ідентичністю та поведінкою, а не за IP.
- Один зламаний пристрій обслуговує кількох злочинних орендарів. Варіанти Mirai та плагіни Badbox 2.0 працювали на тому самому обладнанні. Виявлення має шукати базовий доступ, а не конкретне корисне навантаження.
- Очікуйте наступного бренду протягом місяців. IPIDEA — у січні, NetNut — у липні. Інфраструктура переживає бренд, і сам Google назвав це погіршенням, а не знищенням.
Повернімося до водогону. Можна відключити одного постачальника, але якщо двоє з п'яти кранів у місті тихо підключені до тієї самої підземної мережі, витік — це проблема міської інфраструктури, а не сантехніки. NetNut зник із мапи. Труби залишилися.
Часті запитання
П: Що таке резидентський проксі-ботнет і чому він небезпечний?
Це мережа споживчих пристроїв — телефонів, смарт-телевізорів, стримінгових приставок — чиї інтернет-з'єднання використовуються для маршрутизації чужого трафіку без реальної згоди користувача. Небезпека полягає в тому, що трафік зловмисників виглядає так, ніби він надходить зі звичайних домашніх IP-адрес, що обходить системи захисту від шахрайства, які спираються на репутацію IP для виявлення ботів, VPN або трафіку датацентрів.
П: Як NetNut потрапив на два мільйони пристроїв?
Двома шляхами. Частина бюджетних смарт-телевізорів та стримінгових приставок постачалася із заводу з уже встановленим проксі-кодом. Інші отримали його, коли користувачі встановлювали безкоштовні застосунки із вбудованим прихованим SDK — Spur виявив цей патерн у понад 20% застосунків Samsung Tizen та 42% застосунків LG webOS, жоден із яких не розкривав цього належним чином.
П: Чи справді ліквідація NetNut зупинить зловживання резидентськими проксі?
Мабуть, ненадовго. Сам Google описав дії як «суттєве погіршення», а не знищення, а окремі проксі-провайдери регулярно купують вільні потужності в конкурентів, коли їхній власний пул зазнає удару. Це вже друге таке знешкодження у 2025 році після IPIDEA у січні, а базовий ланцюжок постачання SDK так і не був виправлений.
Tech Mahindra робить ставку на StackGen для автоматизації рутинних завдань Cloud Ops
Tech Mahindra інтегрує платформу Aiden від StackGen у свою хмарну практику, пропонуючи AI-driven SRE, генерацію IaC та спостережуваність з вбудованим управлінням з першого дня.
FIS переводить Enterprise Risk Suite на AWS за моделлю CI/CD
FIS перевела Enterprise Risk Suite на AWS із CI/CD-оновленнями та burst-обчисленнями. Головне — як це змінює бюджети банківських платформ і роботу з вендорами.
Витік даних Singapore Land Authority: 70 000 записів з IBM Cloud
Набір даних 1998 року в хмарному середовищі IBM розкрив реальні дані 70 000 сінгапурців. Робочі системи не постраждали. Вразливим виявився тестовий пісочниця.




