Разгром ботнета NetNut: как дешевые Android TV-приставки стали топливом для масштабных кибератак

1

Ваш телевизор в гостиной — это не просто стриминг Netflix.
За ним скрывается криминальная операция.

ФБР только что разгромило NetNut, резидентную прокси-сеть, которая втайне захватила почти два миллиона домашних устройств.
Большинство из них? Дешевые Android TV-приставки, которые вы могли найти на Amazon или Temu еще на прошлой неделе.
Это было не какое-то заурядное подпольное сообщество из даркнета. NetNut действовала открыто. Они продавали доступ к этому массивному ботнету, словно это была стандартная корпоративная услуга.
Сайт теперь исчез. В цифровом пустоте висит уведомление ФБР о конфискации.
Но главная история здесь — в том, насколько легко повседневные технологии превратились в оружие.

Как работала резидентная прокси-сеть NetNut

NetNut была одним из крупнейших в мире провайдеров резидентных прокси-услуг.
На бумаге эти услуги имеют легальное применение. Компании используют их для проверки рекламы. Или для тестирования на проникновение. Им нужно, чтобы трафик выглядел так, будто он исходит от обычного человека из дома, а не из центра обработки данных, чтобы избежать блокировки веб-сайтами.

В чем подвох?
Источником этого «резидентного» IP-адреса.
Вместо законных добровольцев NetNut опиралась на ботнет, известный как Popa (ранее — Vo1d ).
Специалисты по кибербезопасности из XLab впервые раскрыли эту историю в 2024 году.
Они обнаружили массовый взлом Android TV-приставок непонятных брендов.
Эти устройства не просто показывали рекламу. Они действовали как промежуточные серверы.
Когда преступник хотел скрыть свою личность, запрос проходил через ваш взломанный телевизор. Для целевого веб-сайта атака выглядела так, будто она идет от парня в соседней квартире.

Такая схема делала традиционные системы безопасности бесполезными.
Почему? Потому что трафик выглядел нормальным. Он исходил из действительных IP-адресов, назначенных провайдерами интернет-услуг домашним хозяйствам.
Google подтвердило, что разгром сети значительно ее ослабил, сократив пул захваченных устройств на миллионы.
Но Google признало, что дело еще не закрыто.
Ботнеты делят мощности. Сразив одного оператора, злоумышленники просто покупают прокси у другого.
Как отметил Google, чтобы по-настоящему победить, нужно одновременно атаковать взаимосвязанных провайдеров.

Какие устройства находятся под угрозой?

Не каждое умное устройство уязвимо.
Но ботнет Vo1d целенаправленно атаковал определенное оборудование.
А именно: бюджетные Android TV-приставки.
Вы знаете, о каких. Тех, что продаются безымянными брендами на AliExpress, Amazon или в рекламе в соцсетях от инфлюенсеров, обещающих «бесплатное ТВ без подписок».

Эти приставки часто работают на древних, неподдерживаемых версиях Android.
Никаких патчей безопасности.
Никаких современных защит.
И вот гвоздь в крышку гроба:
Многие из них прибыли уже взломанными.
Исследователи обнаружили, что вредоносное ПО устанавливалось на заводе или на этапе отправки.
Вы вставляете устройство в розетку, и бум — ваше устройство присоединяется к криминальной прокси-сети, еще до того, как вы включили телевизор.

Некоторые из этих взломанных блоков даже стали причиной вирусного инцидента с фейковым видео с ИИ, где Дональд Трамп появляется в Министерстве жилищного строительства и городского развития.
Это был ботнет Vo1d, демонстрирующий свою мощь.
Теперь, когда NetNut разгромлена, эти устройства могут находиться в спящем режиме. Или ждать новых приказов.

Почему дешевые умные устройства привлекают кибератаки

Почему это происходит?
Цена.
Легальные Android TV-приставки от Google, Nvidia или Sony стоят денег. Они поддерживают долгосрочные обновления.
Подделки? Они копеечные.
Но вы платите за эту скидку своей безопасностью.

Производители таких бюджетных устройств часто пропускают важные шаги по обеспечению безопасности, чтобы достичь более низкой цены.
Они не обновляют прошивку.
Они некорректно подписывают свое программное обеспечение.
Они оставляют учетные данные по умолчанию нетронутыми.

Киберпреступники обожают это.
Это легкий вход.
Попав внутрь, оператор ботнета может сделать больше, чем просто скрыть IP-адреса.
Они могут собирать пароли. Они могут собирать конфиденциальные данные, хранящиеся на устройстве.
Они могут атаковать другие учетные записи, связанные с этим пользователем.

Риск заключается не только в том, что ваш телевизор станет медленным. Речь о том, что ваш домашний интернет станет стартовой площадкой для незаконной деятельности, которую вы никогда не одобряли.

Как избежать попадания в следующий ботнет

NetNut уже не исправить.
Но вы можете убедиться, что ваша гостиная не станет частью следующего ботнета.
Начните с оборудования.
Перестаньте покупать приставки «для бесплатного стриминга», которые рекламируют инфлюенсеры в Instagram.
Если что-то звучит слишком хорошо, чтобы быть правдой, скорее всего, на нем предустановлено вредоносное ПО.
Придерживайтесь известных брендов. Sony. Nvidia. Amazon Fire TV. Roku. Google Chromecast with Google TV.
Проверьте характеристики. Получает ли устройство обновления Android TV? Если ответ «я не знаю», уходите.

Этот совет распространяется не только на ТВ-приставки.
Умные лампы. Умные термостаты. Камеры.
Если устройство подключается к Wi-Fi, оно — потенциальный узел в прокси-сети.
Измените пароль по умолчанию.
Держите прошивку в актуальном состоянии.

Существует также новая угроза, называемая promptware.
Это вредоносное ПО не просто использует ваше интернет-соединение.
Оно пытается манипулировать встроенными функциями искусственного интеллекта устройств.
Оно становится креативным.

Безопасность скучна, пока она не сломана.
К тому времени уже слишком поздно менять настройки.
Так что обновляйтесь до того, как это сделают хакеры.

Что еще запущено в вашей домашней сети прямо сейчас?