สรุปสั้น

Google ได้ลดทอนประสิทธิภาพของ NetNut ซึ่งเป็นหนึ่งในเครือข่ายที่ใหญ่ที่สุดที่เปลี่ยนอุปกรณ์ในบ้านให้กลายเป็นรีเลย์ให้เช่าสำหรับส่งทราฟฟิกของคนอื่นได้อย่างมีนัยสำคัญ โดยทำงานร่วมกับ FBI, บริษัท Lumen และพันธมิตรรายอื่น ทีม Google Threat Intelligence Group (GTIG) ระบุเมื่อสัปดาห์นี้ว่าได้ตัดจำนวนอุปกรณ์ที่ใช้งานได้ของเครือข่ายลงไปหลายล้านเครื่อง Google ระบุว่า NetNut หรือที่ติดตามในชื่อ Popa เป็นเครือข่ายที่กระจายอยู่บนอุปกรณ์ในบ้านทั่วโลก ทั้งสมาร์ตทีวีและกล่องสตรีมมิ่ง โดยประเมินว่าเครือข่ายถือครองอุปกรณ์อย่างน้อย 2 ล้านเครื่อง

หากอุปกรณ์เครื่องหนึ่งในบ้านของคุณตกเป็นส่วนหนึ่งของเครือข่ายนี้ คนแปลกหน้าจะสามารถส่งทราฟฟิกของตัวเองผ่านการเชื่อมต่ออินเทอร์เน็ตของคุณ และที่อยู่ IP ของคุณจะกลายเป็นผู้รับผิดชอบต่อสิ่งที่พวกเขาทำ ในช่วงสัปดาห์เดียวของเดือนมิถุนายน GTIG นับได้ว่ามีคลัสเตอร์ภัยคุกคามแยกกันถึง 316 กลุ่มที่ใช้ exit node ต้องสงสัยของ NetNut ทั้งกลุ่มอาชญากรไซเบอร์และกลุ่มจารกรรม เพื่อซ่อนตำแหน่งที่แท้จริงและรันการโจมตีแบบเดารหัสผ่าน ที่น่าสนใจคือ NetNut ไม่เหมือน proxy botnet ทั่วไป เพราะสาวไปถึงบริษัทมหาชน โดยเป็นผู้ให้บริการ proxy ที่มี บริษัท Alarum Technologies (NASDAQ: ALAR) ของอิสราเอลเป็นเจ้าของ

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 3 กรกฎาคม 2569 ว่า เครือข่าย residential proxy อย่าง NetNut ขายสิทธิ์การเข้าถึงที่อยู่อินเทอร์เน็ตบ้านจริง ผู้โจมตีจ่ายเงินเพื่อส่งทราฟฟิกผ่านการเชื่อมต่อของเหยื่อ ทำให้ดูเหมือนการท่องเว็บจากบ้านทั่วไป ไม่ใช่ทราฟฟิกจากดาต้าเซนเตอร์ที่เครื่องมือความปลอดภัยมักบล็อก ในการสร้างพูลอุปกรณ์เช่นนี้ ผู้ให้บริการต้องมีโค้ดของตัวเองทำงานอยู่บนอุปกรณ์ในบ้าน บางเครื่องมีติดตั้งมาแต่โรงงานบนฮาร์ดแวร์โนเนมราคาถูก บางเครื่องรับมันมาเมื่อมีคนติดตั้งแอปฟรีที่แอบซ่อนมันไว้ เมื่อทำงานแล้ว อุปกรณ์จะกลายเป็น “exit node” หรือประตูที่ทราฟฟิกของคนอื่นไหลผ่าน

Google ระบุว่า exit node นำทราฟฟิกจากภายนอกเข้ามาในเครือข่ายบ้าน เปิดช่องให้ผู้โจมตีมีจุดตั้งต้นเข้าถึงอุปกรณ์อื่นในเครือข่ายเดียวกัน อุปกรณ์บางส่วนยังถูกดึงเข้าไปในบ็อตเน็ตโจมตีขนาดใหญ่อย่าง Mirai และ Badbox 2.0 ด้วย ในเดือนมิถุนายน นักวิจัยจาก Qurium, Synthient, Nokia Deepfield และ Spur ได้เชื่อมโยง Popa เข้ากับ NetNut ในการทดสอบแบบควบคุม Synthient ระบุว่าทราฟฟิกที่ส่งเข้าไปยัง gateway เชิงพาณิชย์ของ NetNut ออกมาผ่านอุปกรณ์ที่ตัวเองลงทะเบียนไว้ใน Popa อย่างไรก็ตาม NetNut ปฏิเสธคำว่า “botnet” โดยเรียกงานวิจัยนี้ว่าเป็น “ข้อกล่าวอ้างที่ไม่ถูกต้องอย่างชัดเจนและการอนุมานที่ผิดพลาด” และยืนยันว่าซอฟต์แวร์ของตนเป็นการแบ่งปันแบนด์วิดท์แบบได้รับความยินยอม แต่ Synthient รายงานว่าจากแอปกว่า 20 ตัวที่ตรวจสอบ ไม่มีตัวใดแสดงหน้าต่างขอความยินยอมแก่ผู้ใช้เลย

รายละเอียดการโจมตี

เหตุผลที่การปิด NetNut ทำได้ยากอยู่ที่โครงสร้างของมันเอง NetNut เปิดโครงการ reseller ที่ให้บริษัทอื่นนำเครือข่ายไปขายต่อภายใต้แบรนด์ของตัวเอง Google ระบุด้วยความมั่นใจสูงว่าแบรนด์ proxy ยอดนิยมหลายแบรนด์ที่ดูเหมือนแยกจากกัน แท้จริงแล้วขายต่อพูลเดียวกันของ NetNut ดังนั้นการปิดเพียงครั้งเดียวจึงกระเพื่อมไปยังหลายแบรนด์ที่ดูเป็นอิสระแต่ไม่ได้เป็นเช่นนั้น นั่นคือเหตุผลที่ Google เรียกปฏิบัติการนี้ว่า “การลดทอน” (degradation) ไม่ใช่การ “ปิดตาย” เพราะเมื่อจัดการเครือข่ายคล้ายกันอย่าง IPIDEA ก่อนหน้านี้ ผู้ให้บริการมักเริ่มซื้อกำลังการส่งจากคู่แข่ง กลายเป็น reseller เสียเอง

Google ระบุว่าความเสียหายที่แท้จริงและยั่งยืนต้องอาศัยการจัดการผู้ให้บริการที่เชื่อมโยงกันหลายรายพร้อมกัน ที่ผ่านมาในเดือนมกราคม Google และพันธมิตรได้ทลาย IPIDEA เครือข่ายฐานในจีนที่เคยเป็นหนึ่งในเครือข่ายที่ใหญ่ที่สุด และในเดือนกรกฎาคม 2568 Google ได้ฟ้องผู้ดำเนินการ Badbox 2.0 ซึ่งเป็นบ็อตเน็ตของอุปกรณ์ Android TV ที่ถูกยึด และมีคอมโพเนนต์ทับซ้อนกับ Popa แต่ละครั้งเครือข่ายเหล่านี้พิสูจน์ให้เห็นว่าดื้อและฟื้นตัวได้

ผลกระทบต่อไทย

เครือข่าย residential proxy อย่าง NetNut เป็นภัยที่ใกล้ตัวผู้ใช้ในไทยโดยตรง เพราะสมาร์ตทีวี กล่องสตรีมมิ่ง และอุปกรณ์ IoT ราคาถูกแบรนด์โนเนมที่นิยมใช้ตามบ้านและร้านค้าในไทย อาจมีโค้ด proxy ติดตั้งมาแต่โรงงานหรือติดมาพร้อมแอปฟรี ทำให้อินเทอร์เน็ตบ้านของผู้ใช้กลายเป็น exit node ให้อาชญากรส่งทราฟฟิกผ่านโดยไม่รู้ตัว ผลที่ตามมาคือที่อยู่ IP ของบ้านหรือองค์กรอาจถูกโยงกับการโจมตีเดารหัสผ่าน การฉ้อโกง หรือกิจกรรมผิดกฎหมายอื่น จนถูกขึ้นบัญชีดำ นอกจากนี้การที่ exit node เปิดช่องให้ทราฟฟิกภายนอกเข้าถึงอุปกรณ์อื่นในเครือข่ายบ้านเดียวกัน ยังเพิ่มความเสี่ยงที่อุปกรณ์อื่นจะถูกเจาะตามไปด้วย

คำแนะนำ

สัญญาณเตือนที่ชัดที่สุดคือแอปที่เสนอ “จ่ายเงินให้คุณ” เพื่อแลกกับ “แบนด์วิดท์ที่ไม่ได้ใช้” หรือการ “แบ่งปันอินเทอร์เน็ต” ซึ่งเป็นวิธีหลักที่เครือข่ายเหล่านี้เติบโต ผู้ใช้ควรติดตั้งแอปจาก official app store เท่านั้น และตรวจสอบสิทธิ์ที่แอป VPN หรือ proxy ร้องขอก่อนติดตั้ง เปิดใช้การป้องกันในตัวอย่าง Google Play Protect ไว้เสมอ และเลือกซื้อกล่องสตรีมมิ่งกับสมาร์ตทีวีจากผู้ผลิตที่รู้จัก ไม่ใช่แบรนด์โนเนม สำหรับทีมความปลอดภัยและผู้ให้บริการแพลตฟอร์ม สัญญาณถัดไปที่ต้องเฝ้าจับตาคือทราฟฟิกที่เชื่อมโยงกับ NetNut จะโผล่กลับมาภายใต้แบรนด์ reseller หรือไม่ เพราะความต้องการที่อยู่ IP บ้านจริงไม่ได้หายไปเมื่อเครือข่ายถูกปิด เพียงแต่ย้ายไปที่อื่น

แหล่งอ้างอิง