Падение NetNut — когда ФБР бьёт по попе

netnut арестовало ФБР


Поучительная история NetNut о том, как превратить NASDAQ-компанию в ботнет

Красный баннер вместо личного кабинета

Представьте: вы — солидный корпоративный клиент, ваш пайплайн по сбору данных выверен до байта, а ваш провайдер козыряет листингом на NASDAQ. Вы заходите в личный кабинет NetNut, чтобы проверить лимиты трафика, но вместо дашборда с графиками вас встречает «сочный» баннер Министерства юстиции США и ФБР.

2 июля 2024 года индустрия прокси получила эталонный урок того, что «публичность» — это лишь дорогая косметика на лице зомби-сети. Стратегическая ирония здесь просто зашкаливает: пока топ-менеджмент Alarum Technologies (материнская компания NetNut) упражнялся в составлении квартальных отчетов, их инфраструктура де-факто была фундаментом для ботнета Popa. 🙂

Этот прецедент окончательно похоронил иллюзию, будто «белый» статус на бирже страхует ваш бизнес от того, что ваш трафик внезапно окажется в одном списке с кибершпионажем.

Хронология катастрофы: Планомерная эвтаназия гиганта

Падение NetNut не было случайным кирпичом на голову; это была медленная, публичная и мучительная экзекуция. Если вы думали, что в 2024-м всё закончилось, то 2026-й (с его разборками вокруг IPIDEA) доказал: индустрия обладает памятью золотой рыбки и любовью к одним и тем же граблям.

  • 19 июня 2024 г.: Начало конца. ИБ-фирмы (включая Qurium) публикуют отчеты, доказывающие, что «резидентская сеть» NetNut — это не пул добровольных участников, а паразит, живущий в пиратских приложениях на смарт-ТВ.
  • Конец июня: Брайан Кребс делает историю достоянием общественности. Выясняется, что NetNut фактически монетизировал привычку чьей-то бабушки смотреть сериалы через «бесплатную» приставку.
  • 2 июля 2024 г.: Федералы «выключают свет». ФБР вместе с Google и Lumen Technologies захватывают домены netnut.com, proxyjet.io и — самое страшное для бизнеса — divinetworks.com.
  • Январь — июнь 2026 г.: История повторяется по спирали. Google громит IPIDEA (главного конкурента NetNut), вскрывая, что в этом бизнесе все перепродают друг другу одни и те же гнилые IP-пулы.

И что дальше? Этот кейс показал, что когда ваша «децентрализованная сеть» начинает генерировать DDoS-атаки (как заметили в Qurium), к вам приходят не конкуренты, а люди с ордерами.

Анатомия «легального» ботнета: Смарт-ТВ и «молчаливое согласие»

Техническая наглость NetNut заслуживает отдельного параграфа в учебниках по киберпреступности. Под соусом «инноваций» была создана сеть из 2 миллионов устройств, владельцы которых даже не подозревали, что их телевизоры подрабатывают прокси-серверами.

ХарактеристикаISP Proxies (через DiviNetworks)Residential Pool (Popa)
Источник трафикаКонтракты с ISP, GRE-туннели на edge-роутерах.SDK в пиратских ТВ-приложениях и стриминговых боксах.
ПрозрачностьОтносительно «чистая» модель с оплатой провайдерам.Ноль. Исследование Synthient 20 издателей Popa показало: согласия пользователей не было.
МасштабОграничен емкостью реальных партнеров.Более 2 000 000 «захваченных» зомби-устройств.
СтатусЛегальный бизнес (до момента захвата доменов).Ботнет с биллинговой системой.

Критическая ошибка: NetNut совершила «самоубийство через Google», используя инфраструктуру IT-гиганта для управления своей сетью (C2). Техника living off trusted services позволяла им маскироваться под облачный трафик, но когда связь с ботнетом стала явной, Google просто нажал на кнопку — и 2 миллиона узлов превратились в кирпичи.

Рыночный вердикт: Когда «Аларм» — это не просто название

Фондовый рынок оценил этот бизнес-хоррор без тени юмора. Название Alarum (Тревога) оказалось самоисполняющимся пророчеством. Официальные заявления компании о «кооперации с властями» и «отсутствии официальных уведомлений» выглядели жалко на фоне логотипа ФБР на их главной странице.

  • Результат: Акции Alarum рухнули на 70% за неделю.
  • Финал: Капитализация испарилась на 96% от пика 2024 года.

Главный риск для вас: Захват домена divinetworks.com. Это был «чистый» сегмент бизнеса с реальными ISP-контрактами. Но регуляторы не стали играть в хирурга и ампутировать только «плохую» часть — они сожгли весь госпиталь. Для клиента это означает, что даже ваш самый легальный трафик может исчезнуть в секунду из-за кросс-контаминации с ботнетом.

Прокси-матрешка: 316 групп хакеров за вашим плечом

Ваш поставщик — это часто просто красивая обертка для чужого хаоса. В июне 2026 года Google зафиксировал, что 316 различных хакерских групп (от обычных кардеров до государственных шпионов) использовали узлы NetNut.

Почему? Потому что KYC (Know Your Customer) в NetNut существовал только на бумаге для инвесторов. Spur выяснил: любой мог купить доступ за крипту через анонимную почту. В итоге корпоративные клиенты соседствовали в одной сети с теми, кто ломал эти же самые корпорации.

Жесткие вопросы вашему провайдеру:

  1. Покажите юридическую цепочку: Как именно вы получаете согласие от владельца IP в жилом доме?
  2. Кто ваши SDK-партнеры? Подписывают ли они свои приложения цифровой подписью? (К слову, Bright Data и Oxylabs это делают, а NetNut — нет).
  3. Где ваш KYC? Принимаете ли вы «burner emails» и крипту без верификации личности?

Кошмар комплаенс-отдела: Стандарты FISD

В мире альтернативных данных ваш комплаенс силен настолько, насколько сильно самое слабое звено. Для хедж-фондов кейс NetNut — это репутационный Чернобыль.

Стандартный опросник Due Diligence (DDQ), публикуемый FISD Alternative Data Council, содержит прямой вопрос: «Находился ли ваш поставщик под следствием или получал ли судебные запреты за последние 5 лет?»

Представьте лицо вашего юриста, когда он узнает, что данные для стратегии на миллиарды долларов собирались через сеть, захваченную ФБР. В приличном обществе после такого руку не подают, а контракты разрывают в одностороннем порядке. Пока NetNut отвергал обвинения, индустрия двигалась к прозрачности (Alliance for Responsible Data Collection), оставляя «мутных» игроков за бортом.

Смерть «роста любой ценой»

Эра «дикого Запада» в резидентских прокси официально закончена. Кейс NetNut доказал: если вы строите бизнес на паразитизме, рано или поздно придет дезинсектор с жетоном.

Главный урок: Цена за Гб больше не является критерием успеха. Риск стать невольным соучастником ботнета теперь стоит гораздо дороже, чем сэкономленные центы. Если вы не хотите, чтобы ваш проект стал частью следующего пресс-релиза Министерства юстиции, выбирайте тех, кто не боится показывать свои SDK-сертификаты.

Финальный совет: Если на главной странице вашего провайдера внезапно появился орел ФБР — возможно, пришло время не только переключаться на fallback-ноды, но и срочно обновлять резюме. В компаниях, которые соседствуют с ботнетами, долго не живут.

John Smith

John Smith

Content Manager

John Smith is the blog's virtual author.

Comments (0)

There are no comments here yet, you can be the first!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *