Федералното бюро за разследване (ФБР) съобщи днес, че е работило съвместно с индустриални партньори за изземването на стотици домейни, свързани с NetNut – мащабна услуга за резидентни проксита, управлявана от публично търгуваната израелска компания Alarum Technologies [NASDAQ: ALAR]. Действието се предприема около две седмици след като KrebsOnSecurity публикува разкрития от няколко фирми за сигурност, свързващи NetNut с ботнета Popa – мрежа от най-малко два милиона устройства, компрометирани от зловреден софтуер с малко или никакво съгласие от страна на жертвите.
На 19 юни три различни фирми за сигурност публикуваха сходни констатации: че NetNut е резидентна прокси мрежа, която захранва ботнет на име Popa и разпространява софтуер за устройства, които често се срещат в домовете, като смарт телевизори и стрийминг устройства. Софтуерът на NetNut превръща тези системи в постоянно работещи резидентни прокси възли, които се отдават под наем на трети страни. Те ги използват предимно за пренасочване на злонамерен и натрапчив интернет трафик, като масово извличане на съдържание (scraping), рекламни измами и компрометиране на потребителски профили (account takeover).
По-рано днес началната страница на NetNut беше заменена със съобщение за изземване от ФБР и отдела за криминални разследвания на Службата за вътрешни приходи на САЩ (IRS). В съобщението се изразява благодарност на Google, Lumen, Shadowserver и други индустриални партньори за съдействието им при неутрализирането на стотици домейни, свързани с ботнета Popa, който според експерти отдавна е синоним на резидентната прокси инфраструктура на NetNut.
В публикация, споделена днес, екипът за анализ на заплахи на Google (GTIG) посочва, че прокси мрежата на NetNut се препродава широко под чужда марка (white-label) от множество доставчици на прокси услуги и че нейните услуги са изключително търсени от киберпрестъпници, които се опитват да скрият източника на своя злонамерен трафик. От GTIG допълват, че само за една седмица през юни 2026 г. са наблюдавали 316 отделни групи от атакуващи субекти, включително киберпрестъпни и шпионски групи, които използват предполагаеми изходни възли на NetNut.
„Тези злонамерени лица могат да използват NetNut, за да маскират първоначалния си IP адрес, когато осъществяват достъп до среди на жертви, до собствената си инфраструктура и при провеждане на атаки за отгатване на пароли (password spray)“, пишат от GTIG на Google. „Освен това, когато едно потребителско устройство се превърне в изходен възел, през него преминава неоторизиран мрежов трафик. Това означава, че нападателите могат да получат достъп до други частни устройства в същата домашна мрежа, излагайки ги ефективно на заплахи в интернет.“
Google съобщи, че е деактивирал профилите и услугите си, използвани от NetNut за командване и контрол на зловреден софтуер, и че е споделил технически данни за пакетите за разработка на софтуер (SDK) и бекенд инфраструктурата на NetNut с доставчици на платформи, правоприлагащи органи и изследователски фирми. Компанията също така е деактивирала приложения, за които е известно, че включват различните SDK на NetNut.
Компанията майка на NetNut, Alarum Technologies, не отговори на запитванията за коментар относно днешното спиране на услугата. Преди публикуването на материала миналия месец относно очевидната връзка на компанията с ботнета Popa, Alarum оспори определянето на NetNut като ботнет и заяви, че си запазва правото да съди всеки, който публикува доклади, застрашаващи репутацията на марката.
Бенджамин Бръндидж, основател на услугата за проследяване на прокси мрежи Synthient – една от компаниите, публикували доказателства миналия месец за връзката между ботнета Popa, NetNut и Alarum Technologies – коментира, че изземването на домейни изглежда е нарушило работата както на ботнета Popa, така и на прокси мрежата NetNut, която функционира върху него.
Според Бръндидж предполагаемият край на NetNut вероятно ще бъде сериозен удар за киберпрестъпната общност, която вече пострада от правните действия на Google по-рано тази година, насочени срещу инфраструктурата на най-големия конкурент на NetNut – IPIDEA.
„Мисля, че това спиране ще има голямо влияние, тъй като NetNut придоби значителна популярност след неутрализирането на IPIDEA“, споделя той. „Освен това NetNut беше изключително разпространен сред препродавачите и беше на едно ниво с IPIDEA по отношение на дневен трафик, качество, размер и цена на гигабайт.“
Спирането на NetNut и ботнета Popa може да има и друга допълнителна полза, смята Бръндидж: намаляване на въздействието на големи ботнети за разпределени атаки за отказ на услуга (DDoS), които са изградени на базата на лошо конфигурирани резидентни прокси услуги. През януари Synthient разкри как киберпрестъпници са изградили най-големия DDoS ботнет в света (Kimwolf), тунелирайки през прокси връзки на IPIDEA в локалните мрежи на собственици на телевизионни приемници и заразявайки други базирани на Android устройства зад защитната стена на жертвата.
Въпреки че много от по-големите доставчици на прокси услуги предприеха стъпки за блокиране на тази дейност, препродавачите на големите прокси мрежи реагират много по-бавно на заплахата, допълва Бръндидж.
- Компрометирането на множество телевизионни устройства през прокси мрежата ще окаже влияние върху съществуващите DDoS ботнети.
- Google изчислява, че днешните действия са нанесли сериозен удар върху инфраструктурата на мрежата.