В ходе масштабной скоординированной международной операции ФБР и группа анализа угроз Google нарушили работу NetNut — одной из крупнейших глобальных коммерческих сетей резидентных прокси-серверов.
Эта сеть, которую ИБ-исследователи также отслеживают как ботнет Popa, скомпрометировала более двух миллионов потребительских устройств по всему миру, превратив их в ретрансляторы трафика для киберпреступников и спонсируемых государством шпионских групп.
Совместная акция с участием отраслевых партнёров, включая Lumen Technologies, Shadowserver Foundation и отдел уголовных расследований Налоговой службы США (IRS), была направлена на цифровую инфраструктуру прокси-сервиса. В ходе неё безопасники захватили сотни доменов.
Сердцем NetNut являлся скрытый уровень связи Popa. Встраивая мошеннические комплекты для разработки софта в недорогие смарт-телевизоры на базе Android других производителей, приставки потокового мультимедиа и неофициальные приложения сеть «похитила» обычную домашнюю электронику.
Когда потребители подключали эти устройства, их домашние интернет-соединения незаметно сдавались в аренду в качестве выходных узлов прокси-сервера. Это позволило вредоносному трафику идти через законные внутренние IP-адреса, эффективно обходя стандартные блокировки ЦОДов и фильтры безопасности.
Согласно отчёту Google, по меньшей мере 316 отдельных кластеров угроз использовало выходные узлы NetNut для проведения кампаний по распылению паролей, подброса учётных данных, рекламного мошенничества и сбора конфиденциальной информации всего за одну неделю в июне 2026 года.
Как сообщил независимый ИБ-журналист Брайан Кребс, в отличие от типичных подпольных ботнетов, управляемых хакерскими группами, NetNut может быть связана с коммерческим предприятием Alarum Technologies Ltd, публичной израильской фирмой, акции которой котируются на NASDAQ. Хотя Alarum исторически позиционировала своё ПО как инструмент для совместного использования полосы пропускания по обоюдному согласию, независимые технические обзоры показали, что взломанные хост-приложения не предоставляли пользователям какого-либо чёткого уведомления или запроса на согласие.
В ответ на захват ФБР некоторых доменов, связанных с NetNut, компания выступила с заявлением: «Alarum Technologies серьёзно относится к этому вопросу и будет полностью сотрудничать с правоохранительными органами, чтобы обеспечить тщательное расследование любого злоупотребления её инфраструктурой и привлечение виновных к ответственности».
Google немедленно приняла технические меры параллельно с юридическими действиями агентов бюро: отключила все учётные записи, используемые NetNut для управления вредоносным ПО, и приложения, содержащие скомпрометированные SDK, и обновила Google Play Protect, чтобы автоматически предупреждать пользователей Android.
Усам Оздемиров





