ФБР и Google ликвидировали ботнет NetNut, состоящий из миллионов взломанных Smart TV

04.07.2026 2
ФБР и Google ликвидировали ботнет NetNut, состоящий из миллионов взломанных Smart TV

ФБР, отдел уголовных расследований Налогового управления США (IRS) и компания Google ликвидировали NetNut - резидентную прокси-сеть, построенную на базе ботнета Popa. Эта сеть состояла как минимум из двух миллионов взломанных Smart TV, ТВ-приставок и роутеров, которые годами тайно перенаправляли чужой интернет-трафик без ведома своих владельцев. Об операции, о которой было объявлено 2 июля 2026 года, стало известно после нескольких недель расследований. Специалисты выяснили, что NetNut был тесно связан с вредоносным ПО, распространяемым через предустановленные прошивки и встроенные пакеты средств разработки (SDK) на бюджетных потребительских устройствах.

Что представлял собой прокси-ботнет NetNut

Управление NetNut осуществляла публичная израильская компания Alarum Technologies (NASDAQ: ALAR). Сеть продвигалась на рынке как коммерческий сервис «резидентных прокси», позволяющий клиентам за плату маршрутизировать свой веб-трафик через миллионы реальных домашних IP-адресов вместо серверов в дата-центрах, которые легко заблокировать. Исследователи в области кибербезопасности из Google, Lumen, Shadowserver, Synthient и Spur обнаружили, что значительная часть этого пула IP-адресов приходилась на ботнет Popa - устройства, зараженные без согласия пользователей и скрытно превращенные в выходные узлы для всех, кто готов был платить за доступ.

Как были взломаны два миллиона устройств

Следователи отследили два независимых пути заражения. Некоторые бюджетные смарт-приставки поставлялись с завода с уже встроенным в прошивку прокси-кодом. Другие получали аналогичный функционал через бесплатные мобильные приложения и программы для Smart TV, содержащие скрытый SDK. По данным анализа Google, в разное время этот код был найден примерно в 42 процентах проверенных приложений для LG webOS и более чем в четверти программ для Samsung Tizen. После установки код превращал обычный телевизор или маршрутизатор в скрытый ретранслятор чужого трафика, при этом владелец устройства не замечал ничего необычного на экране.

Излюбленный инструмент хакеров и шпионов

Представители Google сообщили, что только за одну неделю в июне 2026 года они зафиксировали активность 316 различных хакерских группировок, использующих предполагаемые выходные узлы NetNut. В их число входили как обычные киберпреступники, так и группы, связанные с государственным шпионажем. Самым популярным сценарием использования стала атака типа «password spraying» (распыление паролей): злоумышленники распределяли попытки входа в систему между тысячами различных домашних IP-адресов, чтобы ни один из них не спровоцировал срабатывание защитных лимитов или предупреждений на атакуемом сервисе. Инфраструктура NetNut также перепродавалась под брендами (white-label) нескольких более мелких провайдеров прокси. Это означает, что одни и те же взломанные устройства в конечном итоге обеспечивали работу сервисов, которые вообще не имели в своем названии упоминаний NetNut.

Операция по ликвидации

ФБР и отдел уголовных расследований IRS конфисковали сотни доменов, связанных с NetNut, и заменили главную страницу компании на правительственный баннер об изъятии. Корпорация Google заблокировала учетные записи, которые NetNut использовал для управления вредоносным ПО, обновила систему защиты Google Play Protect для автоматической блокировки приложений со скрытым SDK, а также поделилась техническими индикаторами компрометации с ИБ-сообществом, чтобы ускорить процесс очистки уже зараженных устройств. Масштаб этой операции, скоординированной между федеральным ведомством, крупнейшей технологической платформой и независимыми компаниями в сфере кибербезопасности, наглядно демонстрирует, насколько серьезной проблемой злоупотребление резидентными прокси стало как для современной киберпреступности, так и для шпионажа.

Важно: Если вы являетесь владельцем бюджетного Smart TV, ТВ-приставки или неизвестного «бесплатного» прокси-сервиса или приложения, похожего на VPN, проверьте наличие обновлений прошивки. Также просмотрите, какие приложения имеют полный доступ к сети, и удалите все программы, происхождение которых вызывает у вас сомнения.

Почему это не то же самое, что и VPN

Стоит четко понимать, чем на самом деле был NetNut: это не VPN, а сеть резидентных прокси, построенная на монетизации пропускной способности устройств, чьи владельцы никогда не давали на это согласия. Легитимный VPN-сервис публично заявляет о своих владельцах, раскрывает политику ведения логов и юрисдикцию, а также маршрутизирует трафик только того человека, который осознанно решил его установить, и делает это через серверы, которые провайдер реально контролирует и за которые несет ответственность. Сервисы, подобные NetNut, вместо этого тайно используют интернет-каналы чужого оборудования и перепродают к ним доступ, лишая владельца устройства любой возможности узнать, кто и зачем использует его соединение. Это различие имеет решающее значение для любого, кто выбирает между «бесплатным» инструментом маршрутизации трафика и платным сервисом, прошедшим независимый аудит безопасности: попытка сэкономить с помощью сомнительного прокси-приложения - это именно то, из-за чего Smart TV в конечном итоге становится частью ботнета.

Почему это продолжает происходить

NetNut - далеко не первый оператор резидентных прокси, уличенный в использовании взломанного оборудования, и, по словам исследователей, далеко не последний. Сама бизнес-модель, подразумевающая массовую скупку доступа к реальным домашним IP-адресам, создает постоянный стимул закрывать глаза на то, как именно этот доступ был получен. Операция Google устранила с рынка одного из крупных поставщиков, но спрос на трудноблокируемые домашние IP-адреса со стороны спамеров, взломщиков учетных записей и мошенников с рекламой никуда не исчез. Именно поэтому специалисты по кибербезопасности ожидают, что уже через несколько месяцев появятся новые аналогичные сервисы, скрывающиеся за другими брендами.

Заключение

Заключение: Ликвидация NetNut показывает, как «бесплатная» или недорогая прокси-сеть может незаметно превратить обычную домашнюю электронику в инфраструктуру для хакеров и шпионов, достигнув масштабов в два миллиона взломанных гаджетов. Тщательная проверка программного обеспечения, работающего на вашем Smart TV или роутере, а также выбор сетевых инструментов от провайдеров, прозрачных в отношении своей инфраструктуры, остается самой простой и надежной защитой от превращения в невольный выходной узел в следующем аналоге NetNut.
Теги: кибербезопасность vpn интернет-безопасность приватность слежка google сша ботнет фбр

Читайте также