返回
快讯

Google 打击 NetNut 家庭代理网络

Google 在 FBI、Lumen 等协助下削弱了 NetNut(又名 Popa)住宅代理网络,称其可用设备池减少了数百万台。该网络遍布全球家用设备,包含智能电视和流媒体盒;若设备受影响,陌生人可借用你的网络转发流量。Google 建议只装官方应用、保留 Play Protect,并警惕“分享带宽”类应用。

Google 已经击退了 NetNut 的很大一部分。NetNut 是最大的网络之一,它会把家用设备变成供他人流量租用的中继节点。

在与 FBI、Lumen 及其他机构合作后,Google 的 Threat Intelligence Group(GTIG)本周表示,已将该网络可用设备池减少了数百万台。

NetNut 也被称为 Popa,分布在全球家用设备上,包括智能电视和流媒体盒。GTIG 估计,该网络至少拥有 200 万台设备。

如果你家里的设备在其中,陌生人就能通过你的互联网连接路由他们自己的流量,而你的地址会为他们用这条连接所做的一切承担责任。

How It Works

住宅代理网络会出售对真实家庭互联网地址的访问权限。攻击者付费后,把自己的流量经由你的连接转发,这样看起来像普通家庭上网,而不是安全工具通常会拦截的数据中心流量。

为了建立这类设备池,运营者需要让他们的代码在家用设备上运行。有些设备在廉价非品牌硬件上预装了这类代码;另一些则会在用户安装某个隐藏它的免费应用时被带入。代码一旦运行,这台设备就会变成一个“exit node”,也就是其他人流量流经的入口。

Google 表示,exit node 会把外部流量带入家庭网络,使攻击者获得立足点,从而接触同一网络上的其他设备。一些此类家用设备也被拉入了大型攻击 botnet,例如 Mirai 和 Badbox 2.0。

仅在 6 月的一个星期里,GTIG 就统计到 316 个不同的威胁集群在使用疑似 NetNut exit node,其中包括网络犯罪和间谍活动组织,用来隐藏真实位置并发起密码猜测攻击。

The Company Behind It

与大多数代理 botnet 不同,NetNut 可追溯到一家上市公司。6 月,Qurium、Synthient、Nokia Deepfield 和 Spur 的研究人员将 Popa 关联到 NetNut。

NetNut 是一家代理服务提供商,归公开交易的以色列公司 Alarum Technologies(NASDAQ: ALAR)所有。在一次受控测试中,Synthient 说,它送入 NetNut 商业网关的流量是通过一台它加入 Popa 的设备转发出来的。

Synthient 将这解读为流量路径的证据,而不是证明 NetNut 知情或有意为之。Google 自己的情报与此一致:它将 NetNut 和 Popa 视为同一网络,并表示公开报道与其对 NetNut 如何构建其 botnet 的看法相符。The Hacker News 在研究人员发布这些发现时曾进行报道。

Alarum 否认“botnet”这一标签。该公司称相关研究是“明显不准确的断言和有缺陷的推断,而不是经过验证的事实”,并表示其软件用于经同意的带宽共享,不会危及其运行所在的设备。

研究人员的测试让这种辩护变得复杂:Synthient 报告称,它检查的 20 多个应用中,没有一个真的向用户显示同意提示。

Why One Takedown Isn't Enough

切断 NetNut 并不容易。NetNut 运行一个转售商计划,允许其他公司用自己的品牌名称转售其网络。Google 表示,它非常确信许多看起来流行、彼此独立的代理品牌,实际上都是在转售同一个 NetNut 设备池。

因此,一次打击会波及许多看起来独立、但其实并非如此的品牌。

这也是为什么 Google 将此称为削弱,而不是彻底清除。它表示,此前对类似 IPIDEA 网络的行动显示,这类网络看起来很有韧性:运营者会开始从竞争对手那里购买容量,实际上自己也变成了转售商。Google 说,真正、持久的破坏意味着要同时针对多个相互关联的提供商。

今年 1 月,Google 和合作方打击了 IPIDEA,这是一个总部位于中国的网络,在高峰期曾是同类中规模最大的网络之一。2025 年 7 月,Google 将 Badbox 2.0 的运营者告上法庭;该 botnet 由被劫持的 Android TV 设备组成,其组件与 Popa 有重叠。每一次,这些网络都表现得很顽固。

What Consumers Should Do

最明确的危险信号,是某个应用提出付钱给你“unused bandwidth”或“sharing your internet”。这正是这类网络扩张的主要方式之一。

除此之外:

只使用官方应用商店,并查看 VPN 或代理应用请求了哪些权限。

保持 Google Play Protect 等内置防护处于开启状态。

从知名厂商购买流媒体盒和智能电视硬件,不要买无名品牌。

对这些家庭地址的需求不会因为某个网络被打掉而消失;它只会转移。留意 NetNut 的流量是否会悄悄以转售商品牌的名义重新出现。