FBI, NetNut Proxy Platformu Popa Botnet'i Ele Geçirdi Windows

FBI, NetNut Proxy Platformu Popa Botnet'i Ele Geçirdi

Federal Soruşturma Bürosu (FBI) bugün, halka açık İsrail şirketi Alarum Technologies [NASDAQ: ALAR] tarafından işletilen geniş bir konut proxy hizmeti...

Federal Soruşturma Bürosu (FBI) bugün, halka açık İsrail şirketi Alarum Technologies [NASDAQ: ALAR] tarafından işletilen geniş bir konut proxy hizmeti olan NetNut ile ilişkili yüzlerce alan adını ele geçirmek için endüstri ortaklarıyla birlikte çalıştığını söyledi. Eylem, KrebsOnSecurity'nin, NetNut'u, kurbanlardan çok az izin alarak veya hiç izin almadan kötü amaçlı yazılımlar tarafından ele geçirilen en az iki milyon cihazdan oluşan bir koleksiyon olan Popa botnet'e bağlayan birden fazla güvenlik firmasının bulgularını yayınlamasından yaklaşık iki hafta sonra gerçekleşti.

19 Haziran'da üç farklı güvenlik firması benzer bulgular yayınladı: NetNut, Popa adlı bir botnet'i dolduran ve akıllı TV'ler ve yayın kutuları gibi evlerde yaygın olarak bulunan cihazlar için yazılım dağıtan bir konut proxy ağıdır. NetNut'un yazılımı, bu sistemleri, ağırlıklı olarak bunları toplu içerik kazıma, reklam dolandırıcılığı ve hesap ele geçirme faaliyeti gibi kötü niyetli ve izinsiz İnternet trafiğini aktarmak için kullanan başkalarına kiralanan, her zaman açık olan yerleşik proxy düğümlerine dönüştürür.

Bugün erken saatlerde NetNut'un ana sayfasının yerine FBI ve Gelir İdaresi Kriminal Soruşturma bölümünden gelen bir el koyma bildirimi konuldu. El koyma bildiriminde Google, Lumen, Shadowserver ve diğer sektör ortaklarına, uzmanların uzun süredir NetNut'un yerleşik proxy altyapısıyla eşanlamlı olduğunu söylediği Popa botnet'e bağlı yüzlerce alan adının ortadan kaldırılmasına yardımlarından dolayı teşekkür edildi.

Nasıl Önlem Alınmalı?

Google Tehdit İstihbarat Grubu (GTIG), bugün yayınlanan bir blog yazısında, NetNut'un proxy ağının geniş çapta yeniden satıldığını ve bir dizi üçüncü taraf proxy sağlayıcısı tarafından beyaz etiketlendiğini ve hizmetlerinin, kötü amaçlı trafiğinin kaynağını gizlemek isteyen siber suçlular tarafından yoğun olarak arandığını söyledi. GTIG, Haziran 2026'da tek bir hafta içinde, siber suçlular ve casusluk grupları da dahil olmak üzere şüpheli NetNut çıkış düğümlerini kullanan 316 farklı tehdit aktörü kümesini gözlemlediklerini söyledi.

Google'ın GTIG'si, "Bu kötü aktörler, kurban ortamlarına erişirken, kendi altyapılarına erişirken ve şifre sprey saldırıları gerçekleştirirken kaynak IP adreslerini maskelemek için NetNut'u kullanabilirler" diye yazdı. "Ayrıca, bir tüketici cihazı bir çıkış düğümü haline geldiğinde, yetkisiz ağ trafiği bu cihazdan geçer. Bu, kötü niyetli kişilerin aynı ev ağındaki diğer özel cihazlara erişerek onları etkili bir şekilde İnternet tehditlerine maruz bırakabileceği anlamına gelir."

Google, NetNut tarafından kötü amaçlı yazılım komuta ve kontrolü için kullanılan Google hesaplarını ve hizmetlerini devre dışı bıraktığını ve NetNut'un yazılım geliştirme kitleri (SDK'ler) ve arka uç altyapısı hakkındaki teknik istihbaratı platform sağlayıcılar, kolluk kuvvetleri ve araştırma firmalarıyla paylaştığını söyledi. Şirket ayrıca NetNut'un çeşitli SDK'larını paketlediği bilinen uygulamaları da devre dışı bıraktı.

NetNut'un ana şirketi Alarum Technologies'in hukuk danışmanı Omer Weiss, şirketin FBI'ın ele geçirmesinden haberdar olduğunu ve soruşturmacılarla işbirliği yaptığını söyledi.

Detaylar ve Etkileri

Weiss yazılı bir açıklamada, "Alarum bu konuyu ciddiye alıyor ve altyapısının kötüye kullanılmasının kapsamlı bir şekilde soruşturulmasını ve sorumluların hesap vermesini sağlamak için kolluk kuvvetleriyle tam işbirliği yapacaktır" dedi.

Benjamin Brundage, geçen ay Popa botnet'ini NetNut ve Alarum Technologies'e bağlayan kanıtları yayınlayan şirketlerden biri olan proxy izleme hizmeti Synthient'in kurucusudur. Brundage, alan adı ele geçirmelerinin hem Popa botnet'ini hem de onun üzerinde çalışan NetNut proxy ağını bozduğunu söyledi.

Brundage, NetNut'un görünürdeki ölümünün, Google'ın bu yılın başlarında NetNut'un en büyük rakibi IPIDEA'nın altyapısını ele geçiren yasal işlemleri nedeniyle halihazırda sersemlemiş olan siber suç topluluğu için muhtemelen büyük bir dezavantaj olacağını söyledi.

"Bu yayından kaldırmanın büyük bir etkisi olacağını düşünüyorum çünkü NetNut, IPIDEA'nın kaldırılmasından sonra önemli bir popülerlik kazandı" dedi. "Ayrıca NetNut, satıcılar arasında inanılmaz derecede yaygındı ve günlük trafik, kalite, boyut, gigabayt başına fiyat ve tüm bunlar açısından IPIDEA ile aynı seviyedeydi."

Gelecekte Ne Bekleniyor?

Brundage, NetNut ve Popa botnet'inin kaldırılmasının başka bir ek faydası olabileceğini söyledi: Kötü yapılandırılmış konut proxy hizmetlerinin sırtına inşa edilen büyük dağıtılmış hizmet reddi botnet'lerinin etkisinin azaltılması. Ocak ayında Synthient, siber suçluların IPIDEA proxy bağlantıları üzerinden TV kutusu sahiplerinin yerel ağlarına tünel açarak ve kurbanın güvenlik duvarı arkasındaki diğer Android tabanlı cihazlara bulaşarak dünyanın en büyük DDoS botnet'ini (Kimwolf) nasıl kurduklarını ortaya çıkardı.

Biseksüellerin çoğu Brundage, gger proxy sağlayıcılarının bu etkinliği engellemek için adımlar attığını, ancak büyük proxy ağlarının satıcılarının tehdide yanıt vermede çok daha yavaş davrandığını söyledi.

Önemli Gelişmeler

"Tüm bu TV kutusu cihazlarının proxy ağından taviz vermesi açısından, bunun DDoS botnet'leri üzerinde etkisi olacak" dedi.

Google, bugünkü eylemlerin "NetNut'un proxy ağında ve iş operasyonlarında önemli bir bozulmaya yol açtığını ve proxy operatörü için mevcut cihaz havuzunu milyonlarca azalttığını" düşünüyor. Ancak şirket, IPIDEA'nın son birkaç ayda yaptığı gibi, proxy ağlarının diğer proxy hizmetlerini etkili bir şekilde yeniden satarak kendilerini yeniden inşa edebilecekleri konusunda uyarıyor.

Sonuç ve Değerlendirme

GTIG raporu şu sonuca varıyor: "Google, birçok popüler konut proxy markasının aslında NetNut botnet'ini beyaz etiketlediğine inanıyor." "Bu kesintinin konut proxy ekosisteminde daha büyük bir dalgalanma etkisi yaratmasını beklerken, IPIDEA'nın kesintiye uğramasından sonraki gözlemler, bireysel ağların dirençli görünebileceğini kanıtladı. Gözlemlediklerimiz, kendi botnetlerinin bozulmasıyla karşı karşıya kaldıklarında, proxy operatörlerinin rakiplerinden kapasite satın almaya ve etkili bir şekilde satıcı olmaya başlamasıdır. Bu değişken ekosistemde kalıcı bir kesinti yaratmanın, çabalarımızı birbirine bağlı birkaç sağlayıcının altyapısını hedef alacak şekilde ölçeklendirmemiz gerektiği anlamına geldiğinin farkındayız."

KrebsOnSecurity'nin defalarca uyardığı gibi, büyük e-ticaret web sitelerinde satılan isimsiz TV yayın kutularının çoğu, ya yerleşik proxy yazılımıyla önceden yüklenmiş olarak gelir ya da cihazı belirtilen amaç için (korsan film akışı, spor etkinlikleri ve TV şovları akışı) kullanmak için proxy SDK'larının kurulumunu gerektirir. Google'ın buradaki tavsiyesi oldukça yerinde: TV kutuları söz konusu olduğunda, saygın üreticilerin markalarını tercih edin ve ardından yüklemeyi seçtiğiniz uygulamalar konusunda dikkatli ve tedbirli olun.

Uzmanların Görüşleri

Popa botnet tarafından ele geçirilen kabataslak TV kutuları ve diğer tehditlerin tümü, Google'ın Resmi Play Koruma mağazasının sınırları dahilinde çalışmayan resmi olmayan Android işletim sistemleriyle birlikte gelir veya kullanıcının bu işletim sistemlerini yüklemesini gerektirir. Google, tüketicilerin bu talimatları izleyerek bir cihazın resmi Android TV işletim sistemi ve Play Koruma sertifikasıyla oluşturulup oluşturulmadığını doğrulayabileceklerini söylüyor.

TV yayın kutusu olmayan kişiler bile, yalnızca Samsung ve LG akıllı TV'lere indirilebilecek binlerce uygulamadan birini yükleyerek akıllı TV'lerini konut proxy ağlarına kayıtlı bulabilirler. Proxy izleme şirketi Spur, geçen ay yayınlanan bir raporda, LG akıllı TV'lerde webOS işletim sistemi aracılığıyla indirilebilen uygulamaların yüzde 42'sinin, kişinin televizyonunu her zaman açık olan bir konut proxy düğümüne dönüştüren SDK'lar içerdiğini tespit etti. Spur, Samsung'un Tizen işletim sistemi için yapılan uygulamaların dörtte birinden fazlasının benzer konut proxy bileşenlerine sahip olduğunu buldu.

Teknik Analiz

Güncelleme, 16:24. ET: NetNut'un ana şirketi Alarum Technologies'i temsil eden bir avukatın yayın sonrası paylaştığı bir beyanı içeriyordu.

Paylaş: