Перейти к основному контенту
Limp Secure VPN
Все новости

ФБР отключило ботнет NetNut из 2 млн устройств

ФБР отключило ботнет NetNut из 2 млн устройств

Коротко: 2 июля 2026 года ФБР и Google отключили NetNut — сеть из более чем 2 миллионов взломанных домашних устройств, в основном дешёвых Android-приставок и смарт-ТВ, которую под видом «резидентных прокси» сдавали в аренду киберпреступникам и государственным шпионским группам. Владельцы обычно не знали, что их гаджет стал частью ботнета. Проверьте свои устройства и обновите прошивки.

Что произошло

2 июля 2026 года ФБР совместно с подразделением уголовных расследований Налоговой службы США (IRS Criminal Investigation) изъяли сотни доменов, связанных с прокси-сервисом NetNut, а команда Google Threat Intelligence Group (GTIG) отключила аккаунты и инфраструктуру управления, на которой держалась сеть. Специалисты по безопасности отслеживают её также под именем ботнет «Popa».

NetNut продавался как сервис «резидентных прокси»: клиент выходил в интернет через IP-адрес обычного домашнего устройства, а не дата-центра, поэтому его трафик выглядел как трафик рядового пользователя. Проблема в том, что миллионы этих «жилых» IP принадлежали людям, которые не давали на это согласия. По данным следствия, инфраструктурой управляла публичная израильская компания Alarum Technologies (NASDAQ: ALAR), в том числе через партнёрскую программу, позволявшую перепродавать доступ под чужими брендами. Чем резидентные прокси отличаются от VPN, мы объясняем в блоге.

Как взламывали домашние устройства

Заражение шло не через «взлом» в привычном смысле, а через программные закладки. В дешёвые Android-приставки, стриминговые боксы и смарт-ТВ малоизвестных брендов встраивали или подгружали SDK — библиотеки внутри приложений, которые тихо превращали устройство в прокси-узел. Часто такой код приезжал вместе с неофициальными приложениями и «улучшенными» клиентами популярных сервисов, скачанными вне официальных магазинов.

Механика близка к семейству вредоносов Badbox, о котором предупреждали и раньше: устройство поставляется или обновляется с уже встроенным нежелательным кодом. Пользователь просто включает новый телевизор или приставку — и с этого момента его домашний интернет-канал начинает обслуживать чужой трафик, а он об этом не подозревает.

Зачем ботнет был нужен преступникам

Резидентные IP ценятся в киберпреступности именно потому, что им доверяют. Трафик, идущий с домашнего адреса, сложнее отличить от действий настоящего человека, поэтому его реже блокируют системы защиты. Только за одну неделю июня 2026 года Google GTIG насчитала 316 отдельных групп злоумышленников, выходивших через узлы NetNut.

Через сеть маскировали своё местоположение как обычные киберпреступные группировки, так и государственные шпионские команды. Типичные сценарии: подбор паролей крупными «распылениями» (password spray) по корпоративным аккаунтам, захват учётных записей, сокрытие настоящего IP при атаках на жертв, а также массовый парсинг и рекламный фрод.

Что это значит для вас и ваших данных

Если ваше устройство попало в такую сеть, последствия — не абстрактные. Ваш домашний IP-адрес и канал используются для чужих атак: в худшем случае подозрительная активность (попытки взлома, мошенничество) внешне исходит именно от вас, а провайдер видит всплески трафика. Устройство работает медленнее, а сама «прошивка с сюрпризом» может собирать и другие данные.

Важно понимать: уязвимо в первую очередь оборудование, купленное «подешевле» у неизвестных брендов, и приложения, установленные в обход официальных магазинов. Само по себе наличие смарт-ТВ не означает заражение — риск резко растёт именно с серыми устройствами и сторонними APK.

Как понять, что устройство заражено?

Надёжного индикатора для обычного пользователя нет, но насторожить должны: заметное замедление домашнего интернета без причины, перегрев и высокий сетевой трафик приставки в простое, а также предупреждения от Google или провайдера. Если устройство безымянное и давно не обновлялось — безопаснее заменить его на сертифицированное.

Как защитить свои устройства

Покупайте технику известных брендов. Выбирайте смарт-ТВ и приставки на официальной Android TV с сертификацией Google Play Protect, а не безымянные боксы с маркетплейсов по подозрительно низкой цене.

Ставьте приложения только из официальных магазинов. Неофициальные клиенты и «модифицированные» версии популярных приложений — самый частый способ занести прокси-SDK на устройство.

Обновляйте прошивки и приложения. Google уже удалил часть заражённых приложений через Play Protect и предупредил владельцев — но обновления закрывают и другие дыры.

Изолируйте умные устройства. Заведите отдельную гостевую сеть Wi-Fi для телевизоров и IoT, чтобы в случае компрометации они не видели ваши компьютеры и телефоны.

Защитите сетевую половину. VPN шифрует ваш трафик в недоверенных сетях и скрывает реальный IP от сайтов и провайдера, снижая слежку и перехват. Будем честны — VPN не удалит вредоносный SDK из заражённого телевизора и не заменит гигиену устройств — но он закрывает сетевую часть приватности на ваших телефонах и ноутбуках. Как это устроено у нас — на странице возможностей.

Источники

Материал основан на публикациях Krebs on Security, SecurityWeek и Infosecurity Magazine за июль 2026 года.

ФБР отключило ботнет NetNut из 2 млн устройств | Limp VPN