Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости» » Интернет технологии
sitename
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»

Специалисты Google совместно с ФБР, Lumen, Shadowserver Foundation и другими партнерами нарушили работу одной из крупнейших сетей резидентных прокси — NetNut. По информации аналитиков Google Threat Intelligence Group (GTIG), операторы сервиса лишились доступа к нескольким миллионам узлов.


Сеть NetNut (она же Popa) охватывает как минимум 2 млн устройств по всему миру, включая «умные» телевизоры, стриминговые приставки и другую электронику. Такие гаджеты превращаются в выходные узлы сети, и клиенты прокси-сервиса получают возможность направлять через них свой трафик.


Трафик, исходящий от резидентных прокси, выглядит как обычная активность домашних пользователей, поэтому его сложнее заблокировать. Этим активно пользуются злоумышленники, скрывающие свое местоположение и инфраструктуру.


Как пишут исследователи, код NetNut предустанавливался на бюджетные устройства малоизвестных брендов, а также скрывался в бесплатных приложениях. После запуска этот код превращал устройство в узел прокси, через который проходил чужой трафик, и потенциально открывал злоумышленникам доступ к другим девайсам в домашней сети. Также отмечается, что часть зараженных устройств в итоге попадала в крупные ботнеты (например, варианты Mirai и Badbox 2.0).





Всего за одну неделю июня специалисты GTIG насчитали 316 кластеров активности, использовавших узлы NetNut. Среди них были как хакерские, так и шпионские группировки, которые скрывали источники своей активности и занимались атаками типа password spraying.


Как недавно сообщил известный ИБ-журналист Брайан Кребс (Brian Krebs), в отличие от большинства подобных сетей, сервис NetNut оказался связан с публичной израильской компанией Alarum Technologies, чьи акции торгуются на Nasdaq под тикером ALAR. Кребс подчеркивает, что  ранее исследователи из компаний Qurium, Synthient, Nokia Deepfield и Spur связали NetNut с сетью Popa.


Кроме того, в прошлом месяце специалисты Synthient направили трафик через коммерческий шлюз NetNut в рамках контролируемого эксперимента. В итоге трафик вышел в интернет через устройство, заранее подключенное к Popa. Но исследователи писали, что этот тест подтверждает маршрут трафика, однако не доказывает, что в NetNut знали о происхождении узлов или умышленно создали ботнет. Выводы, опубликованные теперь аналитиками Google, согласуются с результатами этих независимых исследований.


При этом представители Alarum не согласны с использованием термина «ботнет» и называют опубликованные исследователями данные «неточными и ошибочными». В компании утверждают, что NetNut является «легитимной коммерческой сетью прокси-серверов», и пользователи добровольно предоставляют сервису неиспользуемую пропускную способность своих устройств. Отдельно в заявлении компании подчеркивалось, что ПО не подвергает устройства риску.


Однако специалисты Synthient сообщали, что ни одно из изученных ими приложений не запрашивало у пользователей согласия на передачу трафика.


Как пишут эксперты Google, полностью обезвредить сеть NetNut в рамках одной операции невозможно. Дело в том, что сервис работает через реселлеров, которые продают доступ к той же инфраструктуре под собственными брендами. По оценкам исследователей, многие якобы независимые прокси-сервисы на деле перепродают доступ к сети NetNut.


В рамках проведенной операции специалисты Google отключили аккаунты и сервисы, которые операторы NetNut использовали для управления малварью. Кроме того, данные о SDK NetNut и серверной инфраструктуре сервиса были переданы партнерам Google, правоохранительным органам и исследовательским компаниям, чтобы те тоже могли обнаруживать и блокировать компоненты, связанные с этой сетью.


Также в Google обновили защиту Play Protect. Теперь она автоматически предупреждает пользователей об известных приложениях со встроенными SDK NetNut, отключает их на Android-устройствах и блокирует установку.


По оценке экспертов GTIG, все эти меры привели к отключению от сети NetNut миллионов устройств и заметно ударили по работе самого прокси-сервиса. Однако специалисты называют произошедшее нарушением работы сети, а не ее ликвидацией. Дело в том, что после блокировок операторы таких платформ зачастую покупают мощности у конкурентов и сами превращаются в реселлеров. Специалисты считают, что для достижения долгосрочного эффекта необходимо одновременно воздействовать на инфраструктуру нескольких связанных провайдеров.


Напомним, что в январе 2026 года Google и ее партнеры уже нарушили работу китайской сети резидентных прокси IPIDEA, а в 2025 году компания подала в суд на операторов ботнета Badbox 2.0. Компоненты этого ботнета, в основном состоявшего из взломанных ТВ-приставок под управлением Android, частично пересекались с сетью Popa.


В заключение эксперты Google в очередной раз посоветовали пользователям устанавливать софт только из официальных магазинов, проверять разрешения VPN- и прокси-приложений, не отключать Google Play Protect, а также избегать использования бюджетных ТВ-приставок и телевизоров неизвестных производителей.


Специалисты Google совместно с ФБР, Lumen, Shadowserver Foundation и другими партнерами нарушили работу одной из крупнейших сетей резидентных прокси — NetNut. По информации аналитиков Google Threat Intelligence Group (GTIG), операторы сервиса лишились доступа к нескольким миллионам узлов. Сеть NetNut (она же Popa) охватывает как минимум 2 млн устройств по всему миру, включая «умные» телевизоры, стриминговые приставки и другую электронику. Такие гаджеты превращаются в выходные узлы сети, и клиенты прокси-сервиса получают возможность направлять через них свой трафик. Трафик, исходящий от резидентных прокси, выглядит как обычная активность домашних пользователей, поэтому его сложнее заблокировать. Этим активно пользуются злоумышленники, скрывающие свое местоположение и инфраструктуру. Как пишут исследователи, код NetNut предустанавливался на бюджетные устройства малоизвестных брендов, а также скрывался в бесплатных приложениях. После запуска этот код превращал устройство в узел прокси, через который проходил чужой трафик, и потенциально открывал злоумышленникам доступ к другим девайсам в домашней сети. Также отмечается, что часть зараженных устройств в итоге попадала в крупные ботнеты (например, варианты Mirai и Badbox 2.0). Всего за одну неделю июня специалисты GTIG насчитали 316 кластеров активности, использовавших узлы NetNut. Среди них были как хакерские, так и шпионские группировки, которые скрывали источники своей активности и занимались атаками типа password spraying. Как недавно сообщил известный ИБ-журналист Брайан Кребс (Brian Krebs), в отличие от большинства подобных сетей, сервис NetNut оказался связан с публичной израильской компанией Alarum Technologies, чьи акции торгуются на Nasdaq под тикером ALAR. Кребс подчеркивает, что ранее исследователи из компаний Qurium, Synthient, Nokia Deepfield и Spur связали NetNut с сетью Popa. Кроме того, в прошлом месяце специалисты Synthient направили трафик через коммерческий шлюз NetNut в рамках контролируемого эксперимента. В итоге трафик вышел в интернет через устройство, заранее подключенное к Popa. Но исследователи писали, что этот тест подтверждает маршрут трафика, однако не доказывает, что в NetNut знали о происхождении узлов или умышленно создали ботнет. Выводы, опубликованные теперь аналитиками Google, согласуются с результатами этих независимых исследований. При этом представители Alarum не согласны с использованием термина «ботнет» и называют опубликованные исследователями данные «неточными и ошибочными». В компании утверждают, что NetNut является «легитимной коммерческой сетью прокси-серверов», и пользователи добровольно предоставляют сервису неиспользуемую пропускную способность своих устройств. Отдельно в заявлении компании подчеркивалось, что ПО не подвергает устройства риску. Однако специалисты Synthient сообщали, что ни одно из изученных ими приложений не запрашивало у пользователей согласия на передачу трафика. Как пишут эксперты Google, полностью обезвредить сеть NetNut в рамках одной операции невозможно. Дело в том, что сервис работает через реселлеров, которые продают доступ к той же инфраструктуре под собственными брендами. По оценкам исследователей, многие якобы независимые прокси-сервисы на деле перепродают доступ к сети NetNut. В рамках проведенной операции специалисты Google отключили аккаунты и сервисы, которые операторы NetNut использовали для управления малварью. Кроме того, данные о SDK NetNut и серверной инфраструктуре сервиса были переданы партнерам Google, правоохранительным органам и исследовательским компаниям, чтобы те тоже могли обнаруживать и блокировать компоненты, связанные с этой сетью. Также в Google обновили защиту Play Protect. Теперь она автоматически предупреждает пользователей об известных приложениях со встроенными SDK NetNut, отключает их на Android-устройствах и блокирует установку. По оценке экспертов GTIG, все эти меры привели к отключению от сети NetNut миллионов устройств и заметно ударили по работе самого прокси-сервиса. Однако специалисты называют произошедшее нарушением работы сети, а не ее ликвидацией. Дело в том, что после блокировок операторы таких платформ зачастую покупают мощности у конкурентов и сами превращаются в реселлеров. Специалисты считают, что для достижения долгосрочного эффекта необходимо одновременно воздействовать на инфраструктуру нескольких связанных провайдеров. Напомним, что в январе 2026 года Google и ее партнеры уже нарушили работу китайской сети резидентных прокси IPIDEA, а в 2025 году компания подала в суд на операторов ботнета Badbox 2.0. Компоненты этого ботнета, в основном состоявшего из взломанных ТВ-приставок под управлением Android, частично пересекались с сетью Popa. В заключение эксперты Google в очередной раз посоветовали пользователям устанавливать софт только из официальных магазинов, проверять разрешения VPN- и прокси-приложений, не отключать Google Play Protect, а также избегать использования бюджетных ТВ-приставок и телевизоров неизвестных производителей.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: