Хакер за стенкой. Как ваш сосед по Wi-Fi стал частью глобальной кибервойны

Сетевые экраны в компаниях привыкли опираться на репутацию IP-адресов. Новый анализ показывает, что этот подход все чаще дает сбой. Исследователи GreyNoise изучили 4 миллиарда сетевых сессий за 90 дней и пришли к выводу: почти 40% уникальных IP, которые обращаются к внешнему периметру компаний, принадлежат обычным домашним подключениям. При этом около 78% таких адресов исчезают раньше, чем попадают в какие-либо базы репутации.

Проблема упирается в саму природу таких адресов. С точки зрения системы фильтрации IP из домашнего сегмента ничем не отличается от трафика легитимного пользователя. Те же интернет-провайдеры, те же диапазоны адресов. Злоумышленники используют обычный домашний интернет, мобильные сети и небольшие корпоративные подключения как промежуточные узлы. В результате вредоносный трафик выглядит так же, как запросы сотрудников, клиентов или партнеров.

Статистика показывает, насколько быстро меняется картина. Доля адресов из домашнего сегмента достигает 39% среди уникальных источников, хотя по общему числу сессий их около 22%. Каждый такой IP обычно участвует менее чем в 3 сессиях и затем исчезает. Фактически речь идет о постоянно меняющемся пуле источников, которые появляются на короткое время и не успевают накопить репутацию.

Основной механизм — быстрая ротация адресов. Почти 80% домашних IP встречаются всего в одной или двух сессиях и больше не наблюдаются. При такой динамике любые системы, которые обновляют списки угроз с задержкой, просто не успевают реагировать. Репутационные фиды оказываются неэффективными не из-за ошибок в данных, а из-за того, что сама модель устаревает быстрее, чем ее можно обновить.

Отдельный сигнал исследователи нашли в географии трафика. Потоки с IP-адресов, которые определяются как индийские, ночью снижаются примерно на 34%. Такая картина совпадает с человеческим режимом сна и указывает на зараженные домашние компьютеры. Устройства продолжают участвовать в атаках, пока владельцы ими не пользуются.

За этим стоит не один тип угроз, а сразу несколько. В отчете выделяют как минимум 4 независимых источника: распространение червей, ботнеты из устройств интернета вещей, коммерческие прокси-сети и инфраструктуру для разведки через VPN. Между некоторыми из этих групп не обнаружили пересечений по IP, хотя снаружи весь трафик выглядит одинаково.

Даже крупные операции по отключению такой инфраструктуры дают лишь временный эффект. После потери примерно 40% узлов у одного из провайдеров прокси-сети операторы восстановили сеть за считанные недели. После каждой подобной операции картина повторяется: краткое снижение активности и быстрое восстановление за счет новых устройств.

Все это меняет требования к защите. Ориентация только на источник трафика перестает работать. Исследователи предлагают смещать фокус на поведение: какие запросы отправляет клиент, как ведет себя соединение, какие паттерны повторяются. В таких условиях более устойчивым инструментом становится цифровой отпечаток устройства. В отличие от IP-адреса он не меняется при ротации и позволяет отслеживать активность одного и того же клиента даже при смене сети.

Что по итогу? В основе выводов лежит массив из 4 миллиардов сессий, собранных с конца ноября 2025 года по конец февраля 2026-го. Дополнительно использовали выборку из 30 тысяч сессий с классификацией типов IP-адресов через IPinfo. В анализ вошли данные по 683 интернет-провайдерам из разных стран. Проверка через инфраструктуру Censys показала, что около 42% источников действительно относятся к домашним подключениям. Если учитывать скомпрометированное абонентское оборудование, доля растет до 62%. Остальная часть оказалась серверами или сканирующей инфраструктурой, ошибочно попавшей в домашний сегмент.