返回 2026-07-04
🔒 安全

FBI 查封 NetNut 代理平台及 Popa 僵尸网络FBI Seizes NetNut Proxy Platform, Popa Botnet

FBI 与行业合作伙伴联合查封了数百个与 NetNut 住宅代理服务相关的域名。NetNut 由以色列上市公司 Alarum Technologies 运营,此前被安全研究机构确认与 Popa 僵尸网络存在直接关联。Popa 僵尸网络通过恶意软件感染并控制了至少 200 万台设备,将其作为非法代理节点。此次执法行动有效打击了庞大的黑产基础设施。

美国联邦调查局(FBI)今天表示,他们已与行业伙伴合作,查封了数百个与 NetNut 相关的域名。NetNut 是一家规模庞大的住宅代理服务,由以色列上市公司 Alarum Technologies [NASDAQ: ALAR] 运营。此次行动距离 KrebsOnSecurity 发布多家安全公司的研究结果大约两周,这些结果将 NetNut 与 Popa 僵尸网络联系起来。Popa 是一个包含至少两百万台设备的僵尸网络,这些设备在受害者几乎或完全不知情的情况下被恶意软件感染。

今天,NetNut 的主页已被 FBI 的查封横幅所取代。

6月19日,三家不同的安全公司发布了相似的调查结果:NetNut 是一个住宅代理网络,它为名为 Popa 的僵尸网络提供节点,并分发针对家庭常见设备(如智能电视和流媒体盒子)的软件。NetNut 的软件将这些系统变成全天候运行的住宅代理节点并出租给他人,而租用者主要利用这些节点来中转滥用和侵入性的互联网流量,例如大规模内容抓取、广告欺诈和账户接管活动。

今天早些时候,NetNut 的主页被替换为 FBI 和美国国税局刑事调查处的查封通知。该查封通知对 Google、Lumen、Shadowserver 及其他行业伙伴在查封数百个与 Popa 僵尸网络相关的域名方面提供的帮助表示感谢,专家表示,Popa 僵尸网络长期以来一直与 NetNut 的住宅代理基础设施同义。

在今天发布的一篇博文中,Google 威胁情报小组(GTIG)表示,NetNut 的代理网络被众多第三方代理提供商广泛转售和白标化,而且其服务深受那些试图掩盖恶意流量来源的网络犯罪分子的追捧。GTIG 表示,在 2026 年 6 月的一周内,他们观察到 316 个不同的威胁行为者集群在使用疑似 NetNut 的出口节点,其中包括网络犯罪团伙和间谍组织。

Google GTIG 写道:“这些恶意行为者在访问受害者环境、访问他们自己的基础设施以及进行密码喷洒攻击时,可以使用 NetNut 来掩盖其原始 IP 地址。此外,当消费设备成为出口节点时,未经授权的网络流量就会从中穿过。这意味着恶意行为者可以访问同一家庭网络上的其他私人设备,从而有效地将它们暴露在互联网威胁之下。”

Google 表示,他们已经禁用了 NetNut 用于恶意软件命令与控制的 Google 账户和服务,并与平台提供商、执法部门和研究公司分享了有关 NetNut 软件开发工具包(SDK)和后端基础设施的技术情报。该公司还禁用了已知捆绑了 NetNut 各种 SDK 的应用程序。

NetNut 母公司 Alarum Technologies 的法律顾问 Omer Weiss 表示,公司已知晓 FBI 的查封行动,并正在配合调查人员的工作。

Weiss 在一份书面声明中表示:“Alarum 高度重视此事,并将全力配合执法部门,确保对其基础设施的任何滥用行为都得到彻底调查,并追究相关责任人的责任。”

Benjamin Brundage 是代理追踪服务公司 Synthient 的创始人,该公司上个月发布了将 Popa 僵尸网络与 NetNut 及 Alarum Technologies 联系起来的证据。Brundage 表示,此次域名查封行动似乎已经对 Popa 僵尸网络以及依托其运行的 NetNut 代理网络造成了破坏。

Brundage 表示,NetNut 的明显覆灭可能会对网络犯罪社区造成极大的不利影响,该社区此前已经因 Google 今年早些时候采取的法律行动而遭到重创,当时 Google 没收了 NetNut 最大竞争对手 IPIDEA 的基础设施。

“我认为这次打击行动将产生巨大影响,因为在 IPIDEA 被端之后,NetNut 获得了极高的人气,”他说道。“此外,NetNut 在分销商中也极其普遍,并且他们在日流量、质量、规模、每 GB 价格等各个方面都与 IPIDEA 不相上下。”

简而言之,这就是 NetNut 的基础设施。图片来源:Lumen 旗下的 Black Lotus Labs。

Brundage 表示,端掉 NetNut 和 Popa 僵尸网络可能还会带来另一个额外好处:减轻那些建立在配置不当的住宅代理服务之上的大型分布式拒绝服务(DDoS)僵尸网络的影响。今年 1 月,Synthient 揭露了网络犯罪分子如何通过 IPIDEA 代理连接建立隧道,潜入电视盒子所有者的本地网络,并感染受害者防火墙背后的其他基于 Android 的设备,从而构建出世界上最大的 DDoS 僵尸网络(Kimwolf)。

Brundage 表示,尽管许多规模较大的代理提供商已采取措施阻止此类活动,但主要代理网络的分销商对该威胁的反应速度要慢得多。

“就所有这些因代理网络而被攻陷的电视盒子设备而言,这将对现有的 DDoS 僵尸网络产生影响,”他说。

就 Google 而言,他们认为今天的行动已导致“NetNut 的代理网络及其业务运营出现显著退化,使该代理运营商可用的设备池减少了数百万台。”但该公司警告称,代理网络可以通过有效地转售其他代理服务来重建自身,正如 IPIDEA 在过去几个月中所做的那样。

“Google 高度确信,许多流行的住宅代理品牌实际上是在对 NetNut 僵尸网络进行白标化运营,”GTIG 报告总结道。“虽然我们预计这次打击行动会在整个住宅代理生态系统中产生更大的连锁反应,但在 IPIDEA 被端后的观察证明,单个网络可能表现出韧性。我们观察到的是,当面临自身僵尸网络的退化时,代理运营商会开始从其竞争对手那里购买容量,从而有效地转变为分销商。我们认识到,要想在这个不断变化的生态系统中制造持久的破坏效果,意味着我们必须扩大行动规模,将目标对准多个相互关联的提供商的基础设施。”

正如 KrebsOnSecurity 反复警告的那样,主要电商网站上出售的大多数无名电视流媒体盒子,要么预装了住宅代理软件,要么需要安装代理 SDK 才能将该设备用于其标称的用途(流媒体播放盗版电影、体育赛事和电视节目)。Google 在此处的建议很中肯:在选购电视盒子时,请坚持选择信誉良好的制造商生产的知名品牌,并在选择安装任何应用程序时保持谨慎和节制。

那些被 Popa 僵尸网络和其他威胁所接管的劣质电视盒子,全都预装了或要求用户安装不受 Google 官方 Play Protect 商店限制的非官方 Android 操作系统。Google 表示,消费者可以按照这些说明来确认设备是否搭载了官方的 Android TV OS 并通过了 Play Protect 认证。

即使没有电视流媒体盒子的用户也会发现,只要从三星和 LG 智能电视上数以千计的可下载应用中安装一款,他们的智能电视就会被悄然接入住宅代理网络。代理追踪公司 Spur 在上个月发布的一份报告中发现,通过 LG 智能电视 webOS 操作系统可供下载的应用中,有 42% 包含了 SDK,会将用户的电视变成一个始终在线的住宅代理节点。Spur 还发现,为三星 Tizen 操作系统开发的应用中,超过四分之一带有类似的住宅代理组件。

图片:Spur.us。

更新(美国东部时间下午 4:24):加入了代表 NetNut 母公司 Alarum Technologies 的律师在文章发布后分享的一份声明。

需要完整排版与评论请前往来源站点阅读。