Co zostało rozbite
2 lipca 2026 r. Threat Intelligence Group Google, wraz z FBI, Lumen, Shadowserver Foundation i IRS Criminal Investigation, wystąpiła przeciwko NetNut, sieci proxy rezydencjalnych, którą Google śledzi także pod nazwą Popa i szacuje na co najmniej 2 miliony urządzeń na świecie. Google wyłączyło konta i usługi, których sieć używała do dowodzenia i kontroli, udostępniło platformom i badaczom szczegóły techniczne ukrytych SDK oraz zaktualizowało Play Protect, by ostrzegał użytkowników i wyłączał aplikacje z tym kodem. FBI przejęło setki domen, w tym netnut.com, na której widnieje dziś federalny baner zajęcia. Ustalenia Krebs on Security wiążą usługę z Alarum Technologies, spółką notowaną na Nasdaq, której pełnomocnik oświadczył, że firma traktuje sprawę poważnie i będzie w pełni współpracować z organami ścigania. To druga taka akcja w tym roku, po sieci IPIDEA w styczniu, a według Google operacja zmniejszyła już dostępną pulę urządzeń o miliony.
Koniec podejrzanego adresu IP
Sieć proxy rezydencjalnych wynajmuje zwykłe domowe łącza internetowe, więc ruch atakującego przychodzi z adresem czyjegoś salonu, a nie zagranicznego centrum danych. Właśnie dlatego się sprzedaje. W jednym tygodniu czerwca Google naliczyło 316 odrębnych grup przestępczych i szpiegowskich, które używały domniemanych wyjść NetNut do ukrywania pochodzenia, prowadzenia password sprayingu, a niekiedy do przechodzenia z oprogramowania proxy na inne urządzenia w tej samej sieci domowej. Dla polskiej firmy łamie to ciche założenie wbudowane w dekadę narzędzi bezpieczeństwa: że groźny ruch wygląda groźnie. Gdy próba logowania do waszych kont przychodzi z adresu mieszkalnego we własnym kraju, blokady geograficzne i listy reputacji IP nie zadziałają. Działają zabezpieczenia, które nigdy nie ufały adresom: uwierzytelnianie wieloskładnikowe wszędzie, limity na konto zamiast na IP oraz alarmy oparte na zachowaniu, a nie pochodzeniu.
Wasze urządzenia są towarem
Druga połowa tej historii to pochodzenie owych 2 milionów wyjść: oprogramowanie preinstalowane na bezmarkowych telewizorach smart i przystawkach jeszcze przed zakupem oraz SDK ukryte w aplikacjach, które płacą twórcom za waszą nieużywaną przepustowość. Właściciel urządzenia rzadko wie, że stał się infrastrukturą, a jednak to jego adres pojawia się w logach ofiary. To czyni zakup urządzeń kontrolą bezpieczeństwa, a nie kwestią gustu, zgodnie z tym, co CERT Polska zaleca dla higieny podłączonego domu: certyfikowany sprzęt od poważnych producentów, aplikacje wyłącznie z oficjalnych sklepów i twarde nie dla wszystkiego, co oferuje pieniądze za dzielenie internetu. To także właściwie ustawia samą operację. Egzekwowanie prawa przesuwa się od zatrzymywania pojedynczych napastników do rozmontowywania szarych rynków infrastruktury, którą oni wynajmują, a ta, jak zauważają badacze, działała w spółce giełdowej. Gdy przestępczość jedzie na masowej infrastrukturze, chroni dyscyplina bez blasku: wiedzieć, co wisi we własnej sieci, i zakładać, że adres niczego nie dowodzi.
Czytaj dalej: Wycofany model graniczny znów jest online · Twój agent AI ufa zatrutemu narzędziu



