Сеть NetNut, по-видимому, была создана публичной компанией, но за фасадом легальной деятельности - сугубо криминальные начинания. Google считает, что уменьшил количество заражённых устройств «на миллионы», но до полного устранения ботнета ещё далеко.
06 Июля 2026 12:08 06 Июл 2026 12:08 |
Сеть NetNut, по-видимому, была создана публичной компанией, но за фасадом легальной деятельности - сугубо криминальные начинания. Google считает, что уменьшил количество заражённых устройств «на миллионы», но до полного устранения ботнета ещё далеко.
Google совместно с ФБР, компанией Lumen и другими партнёрами смог как минимум частично нейтрализовать одну из крупнейших в мире криминальных сетей домашних прокси NetNut.
Компания заблокировала учётные записи в своих сервисах, которые операторы NetNut использовали в качестве контрольных серверов для управления вредоносным ПО.
Кроме того, эксперты компании передали партнёрам и правоохранительным органам техническую информацию об SDK NetNut и инфраструктуре управления ботнета. Система Google Play Protect была обновлена таким образом, чтобы приложения, содержащие этот SDK, автоматически блокировались и не поддавались установке на конечные устройства.
Нейтрализована одна из крупнейших в мире криминальных сетей домашних прокси NetNut
В результате, считают в Google, общий пул скомпрометированных устройств сократился «на миллионы».
«Сети подобного рода создаются из различных скомпрометированных сетевых устройств, часто - домашних роутеров, смарт-телевизоров, камер видеонаблюдения и других подобных систем, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Они как правило используются для перенаправления и маскировки криминального трафика, из чего бы он ни состоял. Если, например, через такую сеть осуществляется DDoS-атака, то именно адреса прокси-точек регистрируются как источник «мусорного» трафика. Владельцы скомпрометированного устройства могут долгое время оставаться в неведении относительно происходящего, пока не последуют санкции со стороны провайдера или правоохранительных органов».
NetNut (также известная под названием Popa) является одной из крупнейших таких сетей: в ней задействованы не менее двух миллионов устройств по всему миру.
Как пишут исследователи Google Threat Intelligence Group, NetNut наполняет ботнет через распространение на криминальных ресурсах SDK для популярных домашних устройств, в том числе, цифровых телевизоров и стриминговых приставок под Android. Специалисты GTIG обнаружили и компоненты плагинов NetNut для других крупномасштабных ботнетов, таких как Badbox 2.0.
В июне этого года исследователи GTIG обнаружили, что сразу 316 различных кластеров угроз эксплуатировали предполагаемые выходные узлы NetNut; в их числе были известные киберкриминальные и кибершпионские объединения. Все они использовали сеть прокси для маскировки своих IP-адресов при вторжении в чужие сетевые инфраструктуры.
NetNut управляет программой для реселлеров, которая позволяет другим компаниям продавать доступ к этой сети под собственными брендами. Google утверждает с высокой степенью уверенности, что многие популярные, на первый взгляд, независимые бренды прокси-серверов на самом деле перепродают один и тот же пул NetNut.
Google операцию «деградированием», а не уничтожением сети. Такие сети могут демонстрировать высокий уровень устойчивости: операторы начинают покупать мощности у конкурентов, фактически сами становясь их реселлерами. Реальный, долгосрочный ущерб, по словам Google, потребует одновременное преследование нескольких взаимосвязанных провайдеров.
Как указывает издание The Hacker News со ссылкой на фирму Synthient, NetNut, по-видимому, управляется публичной коммерческой компанией - Alarum Technologies, чьи акции торгуются на NASDAQ.
В компании, естественно, это отрицают, заявляя, что их ПО, предназначенное для налаживания совместного использования каналов связи (bandwidth sharing) предполагает исключительно добровольное согласие пользователей.
Однако, как пишут в публикации Synthient, ни одно из 20 приложений, ассоциируемых с Alarum/NetNut, согласия у пользователя не запрашивают.
Конечным потребителям рекомендовано избегать приложений, предлагающих «поделиться незадействованной пропускной полосой связи», даже если за это предлагают заплатить. Также рекомендовано избегать покупки телеоборудования у неизвестных брендов, поскольку высока вероятность, что они уже попадут в ваш дом зараженными.