ФБР, отдел уголовных расследований Налогового управления США (IRS) и компания Google ликвидировали NetNut - резидентную прокси-сеть, построенную на базе ботнета Popa. Эта сеть состояла как минимум из двух миллионов взломанных Smart TV, ТВ-приставок и роутеров, которые годами тайно перенаправляли чужой интернет-трафик без ведома своих владельцев. Об операции, о которой было объявлено 2 июля 2026 года, стало известно после нескольких недель расследований. Специалисты выяснили, что NetNut был тесно связан с вредоносным ПО, распространяемым через предустановленные прошивки и встроенные пакеты средств разработки (SDK) на бюджетных потребительских устройствах.
Что представлял собой прокси-ботнет NetNut
Управление NetNut осуществляла публичная израильская компания Alarum Technologies (NASDAQ: ALAR). Сеть продвигалась на рынке как коммерческий сервис «резидентных прокси», позволяющий клиентам за плату маршрутизировать свой веб-трафик через миллионы реальных домашних IP-адресов вместо серверов в дата-центрах, которые легко заблокировать. Исследователи в области кибербезопасности из Google, Lumen, Shadowserver, Synthient и Spur обнаружили, что значительная часть этого пула IP-адресов приходилась на ботнет Popa - устройства, зараженные без согласия пользователей и скрытно превращенные в выходные узлы для всех, кто готов был платить за доступ.
Как были взломаны два миллиона устройств
Следователи отследили два независимых пути заражения. Некоторые бюджетные смарт-приставки поставлялись с завода с уже встроенным в прошивку прокси-кодом. Другие получали аналогичный функционал через бесплатные мобильные приложения и программы для Smart TV, содержащие скрытый SDK. По данным анализа Google, в разное время этот код был найден примерно в 42 процентах проверенных приложений для LG webOS и более чем в четверти программ для Samsung Tizen. После установки код превращал обычный телевизор или маршрутизатор в скрытый ретранслятор чужого трафика, при этом владелец устройства не замечал ничего необычного на экране.
Излюбленный инструмент хакеров и шпионов
Представители Google сообщили, что только за одну неделю в июне 2026 года они зафиксировали активность 316 различных хакерских группировок, использующих предполагаемые выходные узлы NetNut. В их число входили как обычные киберпреступники, так и группы, связанные с государственным шпионажем. Самым популярным сценарием использования стала атака типа «password spraying» (распыление паролей): злоумышленники распределяли попытки входа в систему между тысячами различных домашних IP-адресов, чтобы ни один из них не спровоцировал срабатывание защитных лимитов или предупреждений на атакуемом сервисе. Инфраструктура NetNut также перепродавалась под брендами (white-label) нескольких более мелких провайдеров прокси. Это означает, что одни и те же взломанные устройства в конечном итоге обеспечивали работу сервисов, которые вообще не имели в своем названии упоминаний NetNut.
Операция по ликвидации
ФБР и отдел уголовных расследований IRS конфисковали сотни доменов, связанных с NetNut, и заменили главную страницу компании на правительственный баннер об изъятии. Корпорация Google заблокировала учетные записи, которые NetNut использовал для управления вредоносным ПО, обновила систему защиты Google Play Protect для автоматической блокировки приложений со скрытым SDK, а также поделилась техническими индикаторами компрометации с ИБ-сообществом, чтобы ускорить процесс очистки уже зараженных устройств. Масштаб этой операции, скоординированной между федеральным ведомством, крупнейшей технологической платформой и независимыми компаниями в сфере кибербезопасности, наглядно демонстрирует, насколько серьезной проблемой злоупотребление резидентными прокси стало как для современной киберпреступности, так и для шпионажа.
Почему это не то же самое, что и VPN
Стоит четко понимать, чем на самом деле был NetNut: это не VPN, а сеть резидентных прокси, построенная на монетизации пропускной способности устройств, чьи владельцы никогда не давали на это согласия. Легитимный VPN-сервис публично заявляет о своих владельцах, раскрывает политику ведения логов и юрисдикцию, а также маршрутизирует трафик только того человека, который осознанно решил его установить, и делает это через серверы, которые провайдер реально контролирует и за которые несет ответственность. Сервисы, подобные NetNut, вместо этого тайно используют интернет-каналы чужого оборудования и перепродают к ним доступ, лишая владельца устройства любой возможности узнать, кто и зачем использует его соединение. Это различие имеет решающее значение для любого, кто выбирает между «бесплатным» инструментом маршрутизации трафика и платным сервисом, прошедшим независимый аудит безопасности: попытка сэкономить с помощью сомнительного прокси-приложения - это именно то, из-за чего Smart TV в конечном итоге становится частью ботнета.
Почему это продолжает происходить
NetNut - далеко не первый оператор резидентных прокси, уличенный в использовании взломанного оборудования, и, по словам исследователей, далеко не последний. Сама бизнес-модель, подразумевающая массовую скупку доступа к реальным домашним IP-адресам, создает постоянный стимул закрывать глаза на то, как именно этот доступ был получен. Операция Google устранила с рынка одного из крупных поставщиков, но спрос на трудноблокируемые домашние IP-адреса со стороны спамеров, взломщиков учетных записей и мошенников с рекламой никуда не исчез. Именно поэтому специалисты по кибербезопасности ожидают, что уже через несколько месяцев появятся новые аналогичные сервисы, скрывающиеся за другими брендами.