۲–۳ ژوئیه ۲۰۲۶، افبیآر، اداره مالیات ایالات متحده (تحقیقات جنایی IRS) و گروه اطلاعات تهدید گوگل بهطور مشترک NetNut را که یکی از بزرگترین شبکههای پروکسی مقیم در جهان است، از بین بردند. در پس ظاهر زیبا «ارائهدهنده قانونی» یک باتنت Popa با بیش از ۲ میلیون دستگاه خانگی هکشده، شامل تلویزیونهای هوشمند، دستگاههای پخش تلویزیونی و گجتهای اندرویدی، پنهان شده بود. این دومین بار در شش ماه اخیر است که یک بازیکن بزرگ در بازار بهطور عمومی نابود میشود — و این بهطور قطعی مرز بین پروکسی مقیم قانونی و زیرساختهای جنایی را مشخص میکند.
چه اتفاقی افتاد
در ۲ ژوئیه، گروه اطلاعات تهدید گوگل (GTIG) حسابها و خدمات گوگل را که NetNut برای مدیریت باتنت استفاده میکرد، قطع کرد. بهطور همزمان، افبیآر به همراه بخش تحقیقات جنایی IRS صدها دامنه مرتبط با شبکه را مصادره کرد. دامنه اصلی netnut.com اکنون به اطلاعیه افبیآر درباره مصادره هدایت میشود و دامنه netnut.io DNS سرور خود را به ns1.fbi.seized.gov تغییر داده است. برندهای مرتبط نیز تحت مصادره قرار گرفتند — proxyjet.io و divinetworks.com.
NetNut متعلق به یک شرکت عمومی اسرائیلی به نام Alarum Technologies Ltd (NASDAQ: ALAR) است — به این معنا که این یک گروه زیرزمینی نیست، بلکه یک کسبوکار قابل معامله در بورس است. وکیل شرکت، عمر ویس، اظهار داشت که «Alarum به وضعیت جدی توجه میکند و بهطور کامل با مقامات قانونی همکاری خواهد کرد تا هرگونه سوءاستفاده از زیرساخت آن بهدقت بررسی شود».
بهگفته گوگل، اقدامات هماهنگ شده «آسیب قابل توجهی به شبکه پروکسی NetNut و کسبوکار آن وارد کرد و دسترسی به مجموعه دستگاههای اپراتور را به میلیونها کاهش داد». این یک سناریوی کلاسیک است: در ژانویه ۲۰۲۶، گوگل بهطور مشابه شبکه رقیب IPIDEA را نابود کرد.
چگونه باتنت ۲ میلیون تلویزیون بهعنوان «پروکسیهای مقیم» عمل میکرد
باتنت Popa از حداقل سال ۲۰۲۰ فعال بود. دستگاهها به شبکه از سه طریق وارد میشدند:
- برنامههای تروجانشده. کاربران برنامههای IPTV، استریمینگ و «کاربردی» به ظاهر بیخطر را دانلود میکردند که درون آنها یک پروکسی-SDK پنهان شده بود. یکی از بزرگترین باتنتها Badbox 2.0 بود که پلاگینهای آن با NetNut تداخل داشت.
- نصب کارخانهای. بخشی از تلویزیونهای هوشمند و دستگاههای پخش تلویزیونی ارزانقیمت به خریدار با کد پروکسی از پیش نصبشده میرسیدند — دستگاه بلافاصله پس از باز کردن بسته به یک exit-node تبدیل میشد.
- ویترینهای برنامههای آلوده. مقیاس مشکل بسیار بزرگ است: بهگفته محققان، پروکسی-SDK شامل ۴۲٪ برنامههای LG webOS و بیش از ۲۶٪ برنامههای Samsung Tizen بود.
نتیجه: میلیونها آدرس IP واقعی خانگی که نمیتوان آنها را از یک کاربر «زنده» تشخیص داد — دقیقاً همان چیزی که بازار برای آن هزینه میکند. تنها مشکل این است که مالکان این تلویزیونها هیچگونه توافقی نداشتند و پولی دریافت نکردند.
۳۱۶ گروه در یک هفته: برای چه استفاده میشد
نگرانکنندهترین عدد در گزارش GTIG: تنها در یک هفته ژوئن ۲۰۲۶، گوگل ۳۱۶ خوشه تهدید جداگانه را که از طریق گرههای NetNut عبور میکردند، ثبت کرد. این ترکیبی از مجرمان سایبری و گروههای مرتبط با جاسوسی بود. سناریوهای اصلی:
- Password spraying. حملهکنندگان رمزهای عبور دزدیدهشده و حدسزدهشده را امتحان میکردند و تلاشهای ورود را در میان هزاران IP مقیم مختلف پخش میکردند. سیستمهای نظارت بر ورود به سیستم در این حالت هیچ حجم غیرعادی را از یک منبع نمیبینند — حفاظت کلاسیک «بر اساس تعداد تلاشها از یک IP» کور میشود.
- پنهانسازی در حملات. IP مقیم مکان واقعی را هنگام دسترسی به محیطهای آسیبپذیر قربانیان و زیرساختهای خود مجرمان پنهان میکرد.
- تصاحب حسابها، تقلب تبلیغاتی و اسکرپینگ انبوه — تحت پوشش آدرسهای «خانگی».
خطر جداگانهای برای مالکان دستگاههای آلوده: ترافیک خارجی که از طریق تلویزیون شما عبور میکند، به IP شما متصل است. درخواستهای قانونی شما ممکن است توسط سرویسهای همسایه بهعنوان مشکوک علامتگذاری و مسدود شوند — و حملهکننده در صورت تمایل میتواند نقطه اتکایی در شبکه خانگی شما پیدا کند.
چرا این به کل بازار پروکسی آسیب میزند
NetNut نه تنها خود را میفروخت، بلکه بر اساس مدل whitelabel نیز کار میکرد: بسیاری از «برندهای» محبوب پروکسی مقیم در واقع زیرساخت آن را تحت نام خود دوباره میفروختند. GTIG بهطور مستقیم مکانیک بازار را با نقل قولی توصیف میکند: «وقتی باتنت خود اپراتور دچار مشکل میشود، اپراتورهای پروکسی شروع به خرید ظرفیت از رقبای خود میکنند و به فروشندگان تبدیل میشوند». به این معنا که تحت یک ظاهر زیبا، شما ممکن است بدون اینکه بدانید، از همان تلویزیونهای هکشده استفاده کنید.
دومین شکست سیستماتیک — KYC ضعیف. خرید دسترسی به زیرساخت بدون ارائه نام واقعی ممکن بود، که درب را به روی صدها خوشه جنایی باز کرد. حتی بخش «پاک» کسبوکار نیز آسیب دید: NetNut دارای بخشی به نام DiviNetworks با پروکسی ISP تحت قراردادهای مستقیم با ارائهدهندگان بود (این دقیقاً یک مدل قانونی است)، اما در هنگام نابودی شبکه، همه چیز تحت فشار قرار گرفت.
برای کاربر قانونی، نتیجه ساده است: منبع آدرسهای IP یک «اخلاق» انتزاعی نیست، بلکه یک مسئله از نظر پایداری عملیاتی شماست. ممکن است یک ارائهدهنده باتنت در یک شب مصادره شود، مجموعه آدرسهای آن به دلیل شهرت صدها مجرم آلوده شده است و خود استفاده از چنین شبکهای یک ریسک قانونی است. به همین دلیل مهم است که تفاوت بین انواع پروکسی و منبع آنها را درک کنید: پروکسیهای مقیم چگونه کار میکنند و پروکسیهای موبایل، و چه زمانی برای یک کار کافی است که از پروکسیهای سروری سریع و قابل پیشبینی بدون تمام این درامهای مقیم استفاده کنید.
چگونه پروکسی مقیم قانونی را از باتنت تشخیص دهیم
نابودی NetNut یک فرصت خوب برای بازنگری در چکلیست انتخاب ارائهدهنده است. به چه نکاتی باید توجه کرد:
- منبع شفاف IP. آدرسهای مقیم و ISP قانونی یا از طریق قراردادهای مستقیم با ارائهدهندگان بهدست میآیند یا با توافق صریح کاربران بهازای جبران واقعی. اگر ارائهدهنده در مورد منبع مجموعه مبهم باشد — این یک پرچم قرمز است.
- هیچ «پولی برای ترافیک استفادهنشده». گوگل بهطور صریح از کاربران میخواهد که از برنامههایی که پیشنهاد میکنند برای «اشتراک اینترنت» یا «عرضه استفادهنشده» پول بپردازند، اجتناب کنند — این اصلیترین مسیر آلوده شدن به پروکسیهای باتنت است. اگر شبکه پروکسی شما از چنین برنامههایی تغذیه میشود، شما بخشی از مشکل هستید.
- KYC واقعی و قوانین استفاده. ارائهدهندهای که اصلاً نمیپرسد شما کی هستید و چرا، بههمان اندازه به راحتی دسترسی را به شما و گروه password-spraying میفروشد.
- پایداری مجموعه. آدرسهایی که در صدها حمله دیده شدهاند، به سرعت در لیستهای سیاه سیستمهای ضد تقلب قرار میگیرند. مجموعه پاک و مدیریتشده در جایی که باتنت قبلاً سوخته است، پایدارتر عمل میکند.
ما قبلاً بهتفصیل بررسی کردهایم که چنین شبکههای سایهای از دیدگاه دستگاههای آلوده چگونه کار میکنند، در مطلبی درباره تلویزیونهای هوشمند بهعنوان exit-node پروکسیهای مقیم — داستان NetNut دقیقاً همان سناریو است که به پایان منطقی با حکم افبیآر رسیده است.
این در عمل چه تغییری ایجاد میکند
برای تیمهایی که وباسکرپینگ، چندحسابی، اتوماسیون SMM یا فقط دور زدن مسدودسازیهای جغرافیایی را انجام میدهند، سیگنال اصلی این است: بازار پروکسیهای مقیم در حال گذراندن یک «سالمسازی» دردناک است. در شش ماه، دو شبکه بزرگ بهطور عمومی نابود شدهاند (IPIDEA در ژانویه، NetNut در ژوئیه)، و گوگل بهطور سیستماتیک زیرساختهای C2 را قطع میکند و کاربران را از طریق Play Protect هشدار میدهد. «مقیمهای ارزان از هیچجا» یک معامله سودآور نیست، بلکه یک مین زماندار است: شبکه ممکن است قطع شود، مجموعه آلوده است و ارتباط با ترافیک جنایی ریسکهای شهرت و قانونی ایجاد میکند.
کسی برنده میشود که به پروکسی بهعنوان یک زیرساخت نگاه کند، نه بهعنوان یک مصرفکننده خاکستری: ارائهدهندهای شفاف را انتخاب کند، منبع آدرسها را درک کند و برای هر کار نوع مناسب را انتخاب کند — مقیم در جایی که به IP «زنده» نیاز است، موبایل برای حساسترین پلتفرمها، سروری در جایی که سرعت و قیمت مهم است. سالمسازی بازار در لحظه ناخوشایند است، اما در درازمدت کار قانونی را پایدارتر میکند — و تلویزیونها را به مالکانشان بازمیگرداند.
```