Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»

  • 14:30, 04-июл-2026
  • Новости / Изображения / Отступы и поля / Преимущества стилей / Заработок / Типы носителей / Самоучитель CSS / Интернет и связь / Текст
  • Адам
  • 0

Специалисты Google совместно с ФБР, Lumen, Shadowserver Foundation и другими партнерами нарушили работу одной из крупнейших сетей резидентных прокси — NetNut. По информации аналитиков Google Threat Intelligence Group (GTIG), операторы сервиса лишились доступа к нескольким миллионам узлов.


Сеть NetNut (она же Popa) охватывает как минимум 2 млн устройств по всему миру, включая «умные» телевизоры, стриминговые приставки и другую электронику. Такие гаджеты превращаются в выходные узлы сети, и клиенты прокси-сервиса получают возможность направлять через них свой трафик.


Трафик, исходящий от резидентных прокси, выглядит как обычная активность домашних пользователей, поэтому его сложнее заблокировать. Этим активно пользуются злоумышленники, скрывающие свое местоположение и инфраструктуру.


Как пишут исследователи, код NetNut предустанавливался на бюджетные устройства малоизвестных брендов, а также скрывался в бесплатных приложениях. После запуска этот код превращал устройство в узел прокси, через который проходил чужой трафик, и потенциально открывал злоумышленникам доступ к другим девайсам в домашней сети. Также отмечается, что часть зараженных устройств в итоге попадала в крупные ботнеты (например, варианты Mirai и Badbox 2.0).





Всего за одну неделю июня специалисты GTIG насчитали 316 кластеров активности, использовавших узлы NetNut. Среди них были как хакерские, так и шпионские группировки, которые скрывали источники своей активности и занимались атаками типа password spraying.


Как недавно сообщил известный ИБ-журналист Брайан Кребс (Brian Krebs), в отличие от большинства подобных сетей, сервис NetNut оказался связан с публичной израильской компанией Alarum Technologies, чьи акции торгуются на Nasdaq под тикером ALAR. Кребс подчеркивает, что  ранее исследователи из компаний Qurium, Synthient, Nokia Deepfield и Spur связали NetNut с сетью Popa.


Кроме того, в прошлом месяце специалисты Synthient направили трафик через коммерческий шлюз NetNut в рамках контролируемого эксперимента. В итоге трафик вышел в интернет через устройство, заранее подключенное к Popa. Но исследователи писали, что этот тест подтверждает маршрут трафика, однако не доказывает, что в NetNut знали о происхождении узлов или умышленно создали ботнет. Выводы, опубликованные теперь аналитиками Google, согласуются с результатами этих независимых исследований.


При этом представители Alarum не согласны с использованием термина «ботнет» и называют опубликованные исследователями данные «неточными и ошибочными». В компании утверждают, что NetNut является «легитимной коммерческой сетью прокси-серверов», и пользователи добровольно предоставляют сервису неиспользуемую пропускную способность своих устройств. Отдельно в заявлении компании подчеркивалось, что ПО не подвергает устройства риску.


Однако специалисты Synthient сообщали, что ни одно из изученных ими приложений не запрашивало у пользователей согласия на передачу трафика.


Как пишут эксперты Google, полностью обезвредить сеть NetNut в рамках одной операции невозможно. Дело в том, что сервис работает через реселлеров, которые продают доступ к той же инфраструктуре под собственными брендами. По оценкам исследователей, многие якобы независимые прокси-сервисы на деле перепродают доступ к сети NetNut.


В рамках проведенной операции специалисты Google отключили аккаунты и сервисы, которые операторы NetNut использовали для управления малварью. Кроме того, данные о SDK NetNut и серверной инфраструктуре сервиса были переданы партнерам Google, правоохранительным органам и исследовательским компаниям, чтобы те тоже могли обнаруживать и блокировать компоненты, связанные с этой сетью.


Также в Google обновили защиту Play Protect. Теперь она автоматически предупреждает пользователей об известных приложениях со встроенными SDK NetNut, отключает их на Android-устройствах и блокирует установку.


По оценке экспертов GTIG, все эти меры привели к отключению от сети NetNut миллионов устройств и заметно ударили по работе самого прокси-сервиса. Однако специалисты называют произошедшее нарушением работы сети, а не ее ликвидацией. Дело в том, что после блокировок операторы таких платформ зачастую покупают мощности у конкурентов и сами превращаются в реселлеров. Специалисты считают, что для достижения долгосрочного эффекта необходимо одновременно воздействовать на инфраструктуру нескольких связанных провайдеров.


Напомним, что в январе 2026 года Google и ее партнеры уже нарушили работу китайской сети резидентных прокси IPIDEA, а в 2025 году компания подала в суд на операторов ботнета Badbox 2.0. Компоненты этого ботнета, в основном состоявшего из взломанных ТВ-приставок под управлением Android, частично пересекались с сетью Popa.


В заключение эксперты Google в очередной раз посоветовали пользователям устанавливать софт только из официальных магазинов, проверять разрешения VPN- и прокси-приложений, не отключать Google Play Protect, а также избегать использования бюджетных ТВ-приставок и телевизоров неизвестных производителей.


Специалисты Google совместно с ФБР, Lumen, Shadowserver Foundation и другими партнерами нарушили работу одной из крупнейших сетей резидентных прокси — NetNut. По информации аналитиков Google Threat Intelligence Group (GTIG), операторы сервиса лишились доступа к нескольким миллионам узлов. Сеть NetNut (она же Popa) охватывает как минимум 2 млн устройств по всему миру, включая «умные» телевизоры, стриминговые приставки и другую электронику. Такие гаджеты превращаются в выходные узлы сети, и клиенты прокси-сервиса получают возможность направлять через них свой трафик. Трафик, исходящий от резидентных прокси, выглядит как обычная активность домашних пользователей, поэтому его сложнее заблокировать. Этим активно пользуются злоумышленники, скрывающие свое местоположение и инфраструктуру. Как пишут исследователи, код NetNut предустанавливался на бюджетные устройства малоизвестных брендов, а также скрывался в бесплатных приложениях. После запуска этот код превращал устройство в узел прокси, через который проходил чужой трафик, и потенциально открывал злоумышленникам доступ к другим девайсам в домашней сети. Также отмечается, что часть зараженных устройств в итоге попадала в крупные ботнеты (например, варианты Mirai и Badbox 2.0). Всего за одну неделю июня специалисты GTIG насчитали 316 кластеров активности, использовавших узлы NetNut. Среди них были как хакерские, так и шпионские группировки, которые скрывали источники своей активности и занимались атаками типа password spraying. Как недавно сообщил известный ИБ-журналист Брайан Кребс (Brian Krebs), в отличие от большинства подобных сетей, сервис NetNut оказался связан с публичной израильской компанией Alarum Technologies, чьи акции торгуются на Nasdaq под тикером ALAR. Кребс подчеркивает, что ранее исследователи из компаний Qurium, Synthient, Nokia Deepfield и Spur связали NetNut с сетью Popa. Кроме того, в прошлом месяце специалисты Synthient направили трафик через коммерческий шлюз NetNut в рамках контролируемого эксперимента. В итоге трафик вышел в интернет через устройство, заранее подключенное к Popa. Но исследователи писали, что этот тест подтверждает маршрут трафика, однако не доказывает, что в NetNut знали о происхождении узлов или умышленно создали ботнет. Выводы, опубликованные теперь аналитиками Google, согласуются с результатами этих независимых исследований. При этом представители Alarum не согласны с использованием термина «ботнет» и называют опубликованные исследователями данные «неточными и ошибочными». В компании утверждают, что NetNut является «легитимной коммерческой сетью прокси-серверов», и пользователи добровольно предоставляют сервису неиспользуемую пропускную способность своих устройств. Отдельно в заявлении компании подчеркивалось, что ПО не подвергает устройства риску. Однако специалисты Synthient сообщали, что ни одно из изученных ими приложений не запрашивало у пользователей согласия на передачу трафика. Как пишут эксперты Google, полностью обезвредить сеть NetNut в рамках одной операции невозможно. Дело в том, что сервис работает через реселлеров, которые продают доступ к той же инфраструктуре под собственными брендами. По оценкам исследователей, многие якобы независимые прокси-сервисы на деле перепродают доступ к сети NetNut. В рамках проведенной операции специалисты Google отключили аккаунты и сервисы, которые операторы NetNut использовали для управления малварью. Кроме того, данные о SDK NetNut и серверной инфраструктуре сервиса были переданы партнерам Google, правоохранительным органам и исследовательским компаниям, чтобы те тоже могли обнаруживать и блокировать компоненты, связанные с этой сетью. Также в Google обновили защиту Play Protect. Теперь она автоматически предупреждает пользователей об известных приложениях со встроенными SDK NetNut, отключает их на Android-устройствах и блокирует установку. По оценке экспертов GTIG, все эти меры привели к отключению от сети NetNut миллионов устройств и заметно ударили по работе самого прокси-сервиса. Однако специалисты называют произошедшее нарушением работы сети, а не ее ликвидацией. Дело в том, что после блокировок операторы таких платформ зачастую покупают мощности у конкурентов и сами превращаются в реселлеров. Специалисты считают, что для достижения долгосрочного эффекта необходимо одновременно воздействовать на инфраструктуру нескольких связанных провайдеров. Напомним, что в январе 2026 года Google и ее партнеры уже нарушили работу китайской сети резидентных прокси IPIDEA, а в 2025 году компания подала в суд на операторов ботнета Badbox 2.0. Компоненты этого ботнета, в основном состоявшего из взломанных ТВ-приставок под управлением Android, частично пересекались с сетью Popa. В заключение эксперты Google в очередной раз посоветовали пользователям устанавливать софт только из официальных магазинов, проверять разрешения VPN- и прокси-приложений, не отключать Google Play Protect, а также избегать использования бюджетных ТВ-приставок и телевизоров неизвестных производителей.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!