بازگشت به وبلاگ

اف‌بی‌آر و گوگل NetNut را نابود کردند: ۲ میلیون تلویزیون هوشمند هک شده در شبکه پروکسی خانگی

2–3 ژوئیه 2026، FBI، اداره مالیات ایالات متحده و گروه اطلاعات تهدید گوگل، NetNut را که یکی از بزرگترین شبکه‌های پروکسی مقیم بود و به یک بات‌نت Popa با 2 میلیون تلویزیون هوشمند و دستگاه‌های پخش تلویزیونی تبدیل شده بود، نابود کردند. در طول یک هفته، 316 گروه از طریق آن فعالیت می‌کردند. بررسی می‌کنیم که این چگونه کار می‌کند و چگونه می‌توان پروکسی مقیم معتبر را از پروکسی‌های جنایی تشخیص داد.

📅۱۳ تیر ۱۴۰۵
اف‌بی‌آر و گوگل NetNut را نابود کردند: ۲ میلیون تلویزیون هوشمند هک شده در شبکه پروکسی خانگی
```html

۲–۳ ژوئیه ۲۰۲۶، اف‌بی‌آر، اداره مالیات ایالات متحده (تحقیقات جنایی IRS) و گروه اطلاعات تهدید گوگل به‌طور مشترک NetNut را که یکی از بزرگ‌ترین شبکه‌های پروکسی مقیم در جهان است، از بین بردند. در پس ظاهر زیبا «ارائه‌دهنده قانونی» یک بات‌نت Popa با بیش از ۲ میلیون دستگاه خانگی هک‌شده، شامل تلویزیون‌های هوشمند، دستگاه‌های پخش تلویزیونی و گجت‌های اندرویدی، پنهان شده بود. این دومین بار در شش ماه اخیر است که یک بازیکن بزرگ در بازار به‌طور عمومی نابود می‌شود — و این به‌طور قطعی مرز بین پروکسی مقیم قانونی و زیرساخت‌های جنایی را مشخص می‌کند.

چه اتفاقی افتاد

در ۲ ژوئیه، گروه اطلاعات تهدید گوگل (GTIG) حساب‌ها و خدمات گوگل را که NetNut برای مدیریت بات‌نت استفاده می‌کرد، قطع کرد. به‌طور همزمان، اف‌بی‌آر به همراه بخش تحقیقات جنایی IRS صدها دامنه مرتبط با شبکه را مصادره کرد. دامنه اصلی netnut.com اکنون به اطلاعیه اف‌بی‌آر درباره مصادره هدایت می‌شود و دامنه netnut.io DNS سرور خود را به ns1.fbi.seized.gov تغییر داده است. برندهای مرتبط نیز تحت مصادره قرار گرفتند — proxyjet.io و divinetworks.com.

NetNut متعلق به یک شرکت عمومی اسرائیلی به نام Alarum Technologies Ltd (NASDAQ: ALAR) است — به این معنا که این یک گروه زیرزمینی نیست، بلکه یک کسب‌وکار قابل معامله در بورس است. وکیل شرکت، عمر ویس، اظهار داشت که «Alarum به وضعیت جدی توجه می‌کند و به‌طور کامل با مقامات قانونی همکاری خواهد کرد تا هرگونه سوءاستفاده از زیرساخت آن به‌دقت بررسی شود».

به‌گفته گوگل، اقدامات هماهنگ شده «آسیب قابل توجهی به شبکه پروکسی NetNut و کسب‌وکار آن وارد کرد و دسترسی به مجموعه دستگاه‌های اپراتور را به میلیون‌ها کاهش داد». این یک سناریوی کلاسیک است: در ژانویه ۲۰۲۶، گوگل به‌طور مشابه شبکه رقیب IPIDEA را نابود کرد.

چگونه بات‌نت ۲ میلیون تلویزیون به‌عنوان «پروکسی‌های مقیم» عمل می‌کرد

بات‌نت Popa از حداقل سال ۲۰۲۰ فعال بود. دستگاه‌ها به شبکه از سه طریق وارد می‌شدند:

  • برنامه‌های تروجان‌شده. کاربران برنامه‌های IPTV، استریمینگ و «کاربردی» به ظاهر بی‌خطر را دانلود می‌کردند که درون آن‌ها یک پروکسی-SDK پنهان شده بود. یکی از بزرگ‌ترین بات‌نت‌ها Badbox 2.0 بود که پلاگین‌های آن با NetNut تداخل داشت.
  • نصب کارخانه‌ای. بخشی از تلویزیون‌های هوشمند و دستگاه‌های پخش تلویزیونی ارزان‌قیمت به خریدار با کد پروکسی از پیش نصب‌شده می‌رسیدند — دستگاه بلافاصله پس از باز کردن بسته به یک exit-node تبدیل می‌شد.
  • ویترین‌های برنامه‌های آلوده. مقیاس مشکل بسیار بزرگ است: به‌گفته محققان، پروکسی-SDK شامل ۴۲٪ برنامه‌های LG webOS و بیش از ۲۶٪ برنامه‌های Samsung Tizen بود.

نتیجه: میلیون‌ها آدرس IP واقعی خانگی که نمی‌توان آن‌ها را از یک کاربر «زنده» تشخیص داد — دقیقاً همان چیزی که بازار برای آن هزینه می‌کند. تنها مشکل این است که مالکان این تلویزیون‌ها هیچ‌گونه توافقی نداشتند و پولی دریافت نکردند.

۳۱۶ گروه در یک هفته: برای چه استفاده می‌شد

نگران‌کننده‌ترین عدد در گزارش GTIG: تنها در یک هفته ژوئن ۲۰۲۶، گوگل ۳۱۶ خوشه تهدید جداگانه را که از طریق گره‌های NetNut عبور می‌کردند، ثبت کرد. این ترکیبی از مجرمان سایبری و گروه‌های مرتبط با جاسوسی بود. سناریوهای اصلی:

  • Password spraying. حمله‌کنندگان رمزهای عبور دزدیده‌شده و حدس‌زده‌شده را امتحان می‌کردند و تلاش‌های ورود را در میان هزاران IP مقیم مختلف پخش می‌کردند. سیستم‌های نظارت بر ورود به سیستم در این حالت هیچ حجم غیرعادی را از یک منبع نمی‌بینند — حفاظت کلاسیک «بر اساس تعداد تلاش‌ها از یک IP» کور می‌شود.
  • پنهان‌سازی در حملات. IP مقیم مکان واقعی را هنگام دسترسی به محیط‌های آسیب‌پذیر قربانیان و زیرساخت‌های خود مجرمان پنهان می‌کرد.
  • تصاحب حساب‌ها، تقلب تبلیغاتی و اسکرپینگ انبوه — تحت پوشش آدرس‌های «خانگی».

خطر جداگانه‌ای برای مالکان دستگاه‌های آلوده: ترافیک خارجی که از طریق تلویزیون شما عبور می‌کند، به IP شما متصل است. درخواست‌های قانونی شما ممکن است توسط سرویس‌های همسایه به‌عنوان مشکوک علامت‌گذاری و مسدود شوند — و حمله‌کننده در صورت تمایل می‌تواند نقطه اتکایی در شبکه خانگی شما پیدا کند.

چرا این به کل بازار پروکسی آسیب می‌زند

NetNut نه تنها خود را می‌فروخت، بلکه بر اساس مدل whitelabel نیز کار می‌کرد: بسیاری از «برندهای» محبوب پروکسی مقیم در واقع زیرساخت آن را تحت نام خود دوباره می‌فروختند. GTIG به‌طور مستقیم مکانیک بازار را با نقل قولی توصیف می‌کند: «وقتی بات‌نت خود اپراتور دچار مشکل می‌شود، اپراتورهای پروکسی شروع به خرید ظرفیت از رقبای خود می‌کنند و به فروشندگان تبدیل می‌شوند». به این معنا که تحت یک ظاهر زیبا، شما ممکن است بدون اینکه بدانید، از همان تلویزیون‌های هک‌شده استفاده کنید.

دومین شکست سیستماتیک — KYC ضعیف. خرید دسترسی به زیرساخت بدون ارائه نام واقعی ممکن بود، که درب را به روی صدها خوشه جنایی باز کرد. حتی بخش «پاک» کسب‌وکار نیز آسیب دید: NetNut دارای بخشی به نام DiviNetworks با پروکسی ISP تحت قراردادهای مستقیم با ارائه‌دهندگان بود (این دقیقاً یک مدل قانونی است)، اما در هنگام نابودی شبکه، همه چیز تحت فشار قرار گرفت.

برای کاربر قانونی، نتیجه ساده است: منبع آدرس‌های IP یک «اخلاق» انتزاعی نیست، بلکه یک مسئله از نظر پایداری عملیاتی شماست. ممکن است یک ارائه‌دهنده بات‌نت در یک شب مصادره شود، مجموعه آدرس‌های آن به دلیل شهرت صدها مجرم آلوده شده است و خود استفاده از چنین شبکه‌ای یک ریسک قانونی است. به همین دلیل مهم است که تفاوت بین انواع پروکسی و منبع آن‌ها را درک کنید: پروکسی‌های مقیم چگونه کار می‌کنند و پروکسی‌های موبایل، و چه زمانی برای یک کار کافی است که از پروکسی‌های سروری سریع و قابل پیش‌بینی بدون تمام این درام‌های مقیم استفاده کنید.

چگونه پروکسی مقیم قانونی را از بات‌نت تشخیص دهیم

نابودی NetNut یک فرصت خوب برای بازنگری در چک‌لیست انتخاب ارائه‌دهنده است. به چه نکاتی باید توجه کرد:

  1. منبع شفاف IP. آدرس‌های مقیم و ISP قانونی یا از طریق قراردادهای مستقیم با ارائه‌دهندگان به‌دست می‌آیند یا با توافق صریح کاربران به‌ازای جبران واقعی. اگر ارائه‌دهنده در مورد منبع مجموعه مبهم باشد — این یک پرچم قرمز است.
  2. هیچ «پولی برای ترافیک استفاده‌نشده». گوگل به‌طور صریح از کاربران می‌خواهد که از برنامه‌هایی که پیشنهاد می‌کنند برای «اشتراک اینترنت» یا «عرضه استفاده‌نشده» پول بپردازند، اجتناب کنند — این اصلی‌ترین مسیر آلوده شدن به پروکسی‌های بات‌نت است. اگر شبکه پروکسی شما از چنین برنامه‌هایی تغذیه می‌شود، شما بخشی از مشکل هستید.
  3. KYC واقعی و قوانین استفاده. ارائه‌دهنده‌ای که اصلاً نمی‌پرسد شما کی هستید و چرا، به‌همان اندازه به راحتی دسترسی را به شما و گروه password-spraying می‌فروشد.
  4. پایداری مجموعه. آدرس‌هایی که در صدها حمله دیده شده‌اند، به سرعت در لیست‌های سیاه سیستم‌های ضد تقلب قرار می‌گیرند. مجموعه پاک و مدیریت‌شده در جایی که بات‌نت قبلاً سوخته است، پایدارتر عمل می‌کند.

ما قبلاً به‌تفصیل بررسی کرده‌ایم که چنین شبکه‌های سایه‌ای از دیدگاه دستگاه‌های آلوده چگونه کار می‌کنند، در مطلبی درباره تلویزیون‌های هوشمند به‌عنوان exit-node پروکسی‌های مقیم — داستان NetNut دقیقاً همان سناریو است که به پایان منطقی با حکم اف‌بی‌آر رسیده است.

این در عمل چه تغییری ایجاد می‌کند

برای تیم‌هایی که وب‌اسکرپینگ، چندحسابی، اتوماسیون SMM یا فقط دور زدن مسدودسازی‌های جغرافیایی را انجام می‌دهند، سیگنال اصلی این است: بازار پروکسی‌های مقیم در حال گذراندن یک «سالم‌سازی» دردناک است. در شش ماه، دو شبکه بزرگ به‌طور عمومی نابود شده‌اند (IPIDEA در ژانویه، NetNut در ژوئیه)، و گوگل به‌طور سیستماتیک زیرساخت‌های C2 را قطع می‌کند و کاربران را از طریق Play Protect هشدار می‌دهد. «مقیم‌های ارزان از هیچ‌جا» یک معامله سودآور نیست، بلکه یک مین زمان‌دار است: شبکه ممکن است قطع شود، مجموعه آلوده است و ارتباط با ترافیک جنایی ریسک‌های شهرت و قانونی ایجاد می‌کند.

کسی برنده می‌شود که به پروکسی به‌عنوان یک زیرساخت نگاه کند، نه به‌عنوان یک مصرف‌کننده خاکستری: ارائه‌دهنده‌ای شفاف را انتخاب کند، منبع آدرس‌ها را درک کند و برای هر کار نوع مناسب را انتخاب کند — مقیم در جایی که به IP «زنده» نیاز است، موبایل برای حساس‌ترین پلتفرم‌ها، سروری در جایی که سرعت و قیمت مهم است. سالم‌سازی بازار در لحظه ناخوشایند است، اما در درازمدت کار قانونی را پایدارتر می‌کند — و تلویزیون‌ها را به مالکانشان بازمی‌گرداند.

```