ФБР снесло NetNut: почему резидентские прокси - это чья-то взломанная приставка

Привет. Пока ты воевал с антифродом и обновлял пул под очередной залив, в фоне произошло событие, которое стоит того, чтобы оторваться от кабинета и вникнуть. 2 июля ФБР совместно с Google и еще пачкой контор снесло NetNut — одного из крупнейших в мире провайдеров резидентских прокси. Изъяли сотни доменов, отрубили миллионы IP, а сам домен netnut.io теперь резолвится на сервера с говорящими именами ns1.fbi.seized.gov.

Читать в полной версии

Само по себе "еще один прокси-сервис прикрыли" — новость на пять минут. Но интересно не это. Интересно то, что этот разгром вытащил на свет: чем на самом деле являются "резидентские прокси", за которые ты платишь как за премиум-инструмент, и почему десяток "разных" брендов, из которых ты выбираешь по цене и отзывам, — это очень часто один и тот же пул IP, растущий на взломанных телевизорах и приставках по всему миру. Давай разбираться спокойно, по первоисточникам, и главное — что из этого следует лично для тебя как для байера.

 

Что вообще произошло

 

Разложим по фактам, из официального заявления Google Threat Intelligence Group и разбора Krebs on Security.
 

NetNut — это фасад. Под ним крутился ботнет, известный как Popa: по оценке Google, минимум 2 миллиона зараженных устройств, разбросанных по всему миру. Не серверы в дата-центрах, не честно арендованные каналы — а обычная домашняя техника: смарт-ТВ, стриминговые приставки, Android-устройства. Твой резидентский экзит-нод — это в буквальном смысле чей-то телевизор, который в этот момент показывает сериал, а параллельно гоняет чужой трафик.
 

Оператором сервиса оказалась публичная израильская компания Alarum Technologies (тикер ALAR на NASDAQ). Как только история всплыла, ее акции сложились примерно на 67% — до $2.62 за неделю. Рынок довольно однозначно оценил, что бывает с бизнесом, у которого ФБР забирает инфраструктуру.
 

Что конкретно сделали:
 

Итог в формулировке самого Google: действия "нанесли значительную деградацию прокси-сети NetNut и ее бизнес-операциям, сократив доступный пул устройств оператора на миллионы". То есть у кого-то прямо сейчас в кабинете тихо сдохла половина прокси-пула — и он даже не в курсе, почему.

 

Кто вообще сидел на этих IP

 

Теперь про то, почему это не "безобидный инструмент для обхода гео". За одну неделю июня Google насчитала 316 отдельных кластеров угроз, которые ходили через экзит-ноды NetNut. Не "пользователи" — именно кластеры угроз: киберкриминал и шпионские группировки. Использовали ровно для того, для чего резидентские прокси и нужны плохим парням: прятать реальный IP при заходе в чужие среды, при доступе к своей инфраструктуре и при password spray атаках (перебор паролей).
 

Зафиксируй эту мысль, она нам понадобится дальше: тот самый пул "чистых домашних IP", который ты арендуешь под свой белый (ну, серый) залив, — это ровно те же IP, с которых на прошлой неделе ломали чьи-то почты и лезли в корпоративные сети. Ты и злоумышленник — соседи по подъезду.

 

Откуда вообще берутся резидентские IP

 

Вот это ключевая часть, которую маркетинг прокси-сервисов старательно обходит. Резидентский IP "премиум-качества" — откуда он? Провайдер же не звонит бабушке в Огайо с предложением сдать ее роутер в аренду.
 

Google описывает механику прямым текстом: домашние устройства попадают в прокси-сеть либо потому, что малварь предустановлена еще до покупки (дешевая noname-приставка с AliExpress уже приезжает зараженной), либо потому, что пользователь сам, не зная того, ставит приложение со скрытым прокси-кодом внутри. Второй канал — это те самые SDK.
 

Схема простая и оттого гениальная. Разработчик бесплатного приложения — VPN, "ускоритель", какая-нибудь утилита для ТВ — встраивает в него SDK, который превращает устройство в постоянно включенный прокси-нод. За это разработчику платят. Пользователь получает "бесплатное" приложение и понятия не имеет, что его канал теперь сдается в аренду кому попало. Google прямо предупреждает: бойтесь приложений, которые предлагают деньги за "неиспользуемый трафик" или "поделись своим интернетом" — это и есть основной способ, которым растут вредоносные прокси-сети.
 

Насколько это массово — показало отдельное исследование Spur. Они просканировали 6038 приложений для смарт-ТВ на LG webOS и Samsung Tizen и нашли прокси-софт в 2058 из них. В цифрах: 42,5% приложений в сторе LG webOS и 26,9% на Samsung Tizen содержат резидентский прокси-SDK. Почти половина. И ни одно из них внятно не сообщало об этом пользователю. Твой "резидентский пул" физически живет вот здесь — в приложениях на телевизорах людей, которые об этом не подозревают.

Понимаешь угол? Это не "серая, но нейтральная инфраструктура".

Это ботнет. Разница между "резидентским прокси-провайдером" и "оператором ботнета" в значительной части рынка — чисто в дизайне лендинга и наличии красивого дашборда с оплатой картой.

 

Реселлинг: почему "другой провайдер" — это тот же самый пул

 

А вот это — главное практическое открытие всей истории, и ради него стоило вникать.
 

Ты когда выбираешь прокси, наверняка думаешь про диверсификацию: возьму пул у одного бренда, запасной — у другого, чтобы не зависеть от одного поставщика. Логично же. Так вот, Google прямым текстом ломает эту логику:
 

"Помимо продажи доступа под брендом NetNut, у NetNut есть развитая реселлерская программа, позволяющая вайтлейблить его сеть. Google с высокой уверенностью считает, что многие популярные бренды резидентских прокси на самом деле вайтлейблят ботнет NetNut".


Переводя на человеческий: десяток "разных" прокси-сервисов с разными сайтами, разными ценами и разными отзывами на форумах — это может быть один и тот же пул IP, перепроданный через белую этикетку. Ты думаешь, что у тебя два независимых поставщика, а на деле оба тянут из одного бака. И когда ФБР забирает этот бак — гаснут оба "твоих" провайдера одновременно.
 

Причем это не аномалия конкретно NetNut, а устройство рынка. Аналитик Mandiant Марк Караян формулирует так: "Прокси-индустрия глубоко переплетена — операторы постоянно покупают и перепродают друг у друга емкости ботнетов".

А Google добавляет механику: когда чей-то ботнет деградирует, оператор начинает докупать емкость у конкурентов — "фактически становясь реселлером". То есть даже сервис, который начинал с честного пула, под давлением спроса подмешивает чужой — и ты об этом никогда не узнаешь из его прайса.
 

И это уже не первый заход. NetNut — продолжение январской истории с сетью IPIDEA, которую Google выпилила в начале 2026-го с прогнозом "эффекта ряби по всей экосистеме". То есть это системная охота, а не разовая акция. Следующий громкий бренд в очереди — вопрос времени.


 

Что из этого следует для байера — по пунктам

 

Хватит теории, давай про твои деньги. Что конкретно меняется, если ты льешь на резидентских прокси.
 

1. Пул может умереть в любой момент — не по твоей вине. Раньше сдохший прокси-пул ты списывал на провайдера: криворукие, забанились, сменю. Теперь есть новый сценарий: твои IP исчезают пачками, потому что где-то в Вирджинии ФБР подписало ордер на изъятие, а твой "бренд" просто реселлил тот пул. Ты в это время в проливе — и у тебя посреди кампании массово отваливаются сессии, ломается трекинг, крутится бюджет в никуда. Это не гипотетика, это ровно то, что произошло 2 июля с клиентами вайтлейбл-брендов NetNut.
 

2. "Грязные" IP и репутационное соседство. Вернись к тем 316 кластерам угроз. Ты делишь пул с теми, кто через эти же IP делал password spray и лез в чужие сети. Антифрод-системы, платформы и рекламные сети не дураки: они давно фингерпринтят и заносят в блэклисты диапазоны и ASN, засветившиеся в резидентских прокси-сетях и абьюзе. Ты можешь лить кристально белую связку, но с IP, у которого уже подмоченная репутация от соседа-киберкриминала. Результат — на ровном месте режется пролив, растут отклоненные конверсии, банится акк "без причины". Причина есть, просто она не в твоем крео.
 

3. Нестабильность как норма. Экзит-нод — это чья-то приставка. Ее выключат на ночь, вынесут за пределы Wi-Fi, обновит прошивку, Play Protect ее вырубит. У ботнет-пула по определению рваная, непредсказуемая доступность — в отличие от честного дата-центра. Для задач, где важна стабильная сессия (антидетект, фарм аккаунтов, длинные воронки), это постоянный источник необъяснимых сбоев.
 

4. Юридико-этическая экспозиция. Тут без морализаторства, чисто про риск. Инструмент, который ты используешь, построен на взломанной технике ничего не подозревающих людей и является предметом активного расследования ФБР и IRS. Ты не оператор ботнета, но твой рабочий процесс завязан на инфраструктуру, которую в любой момент могут изъять, а логи — проанализировать. Для соло-байера это абстрактный риск, для команды с оборотами и юрлицом — уже нет.

 

Как проверять своего провайдера

 

Панацеи нет — рынок непрозрачен by design. Но снизить шанс сидеть на ботнете можно. Практический чек-лист:
 

 

Короче

 

Разгром NetNut — это не новость про "еще один прикрытый сервис". Это рентген рынка, на инструменты которого ты каждый день опираешься. Он показал три вещи, которые полезно принять как данность. Первое: значительная часть "резидентских прокси" — это ботнеты на взломанной домашней технике, и грань между "провайдером" и "оператором малвари" тоньше, чем хочется. Второе: реселлинг и вайтлейбл размывают всю твою диверсификацию — десяток брендов может оказаться одним пулом, который гаснет разом. Третье: Google и ФБР зашли в эту тему всерьез и системно — после IPIDEA и NetNut будут следующие, и каждый такой снос будет ронять чьи-то кампании как побочку.
 

Вывод не в том, чтобы завтра выкинуть резидентские прокси — под многие задачи альтернативы им пока нет. Вывод в том, чтобы перестать считать их надежной коммунальной услугой и начать относиться как к тому, чем они на самом деле являются: к чужой, полулегальной и хрупкой инфраструктуре, которую в любой момент могут выдернуть из-под тебя.

Знаешь происхождение своего пула, держишь запасной источник, проверяешь IP до залива — живешь спокойно. Веришь маркетингу про "премиум-резидентов из эксклюзивного пула" — однажды утром обнаружишь, что твой премиум резолвится на ns1.fbi.seized.gov.