Federal Soruşturma Bürosu (FBI), halka açık İsrail merkezli Alarum Technologies [NASDAQ: ALAR] tarafından işletilen devasa bir konut proxy hizmeti olan NetNut ile ilişkili yüzlerce alan adına el koyduğunu duyurdu. Bu operasyon, KrebsOnSecurity'nin birden fazla güvenlik firmasının NetNut'u Popa botnet'ine bağlayan bulgularını yayınlamasından yaklaşık iki hafta sonra gerçekleşti. Popa botnet, en az iki milyon cihazdan oluşan ve mağdurların rızası olmaksızın kötü amaçlı yazılımlarla ele geçirilmiş bir koleksiyon.
19 Haziran'da üç farklı güvenlik firması benzer bulgular yayınladı: NetNut, Popa adlı bir botnet barındıran bir konut proxy ağıdır ve akıllı TV'ler ve akış kutuları gibi evlerde yaygın olarak bulunan cihazlar için yazılım dağıtır. NetNut'un yazılımı, bu sistemleri sürekli açık konut proxy düğümlerine dönüştürerek başkalarına kiralar; bu kişiler de bunları ağırlıklı olarak toplu içerik kazıma, reklam dolandırıcılığı ve hesap ele geçirme gibi istismar edici ve müdahaleci internet trafiğini aktarmak için kullanır.
Bugün erken saatlerde NetNut'un ana sayfası, FBI ve İç Gelir Servisi Suç Soruşturma Bölümü'nden bir el koyma bildirimi ile değiştirildi. Bildirimde, Popa botnet'ine bağlı yüzlerce alan adının dağıtılmasında yardımları için Google, Lumen, Shadowserver ve diğer sektör ortaklarına teşekkür edildi. Uzmanlar, Popa botnet'inin uzun süredir NetNut'un konut proxy altyapısı ile eş anlamlı olduğunu belirtiyor.
Google Tehdit İstihbarat Grubu (GTIG) tarafından bugün yayınlanan bir blog yazısında, NetNut'un proxy ağının birçok üçüncü taraf proxy sağlayıcısı tarafından yeniden satıldığı ve beyaz etiketlendiği belirtildi. Hizmetlerinin, kötü amaçlı trafiklerinin kaynağını gizlemek isteyen siber suçlular tarafından yoğun şekilde talep edildiği vurgulandı. GTIG, Haziran 2026'da bir hafta içinde, 316 farklı tehdit aktörü kümesinin NetNut çıkış düğümlerini kullandığını gözlemledi; bunlar arasında siber suç ve casusluk grupları da yer alıyor.
Sonuç ve Değerlendirme
Google, 'Bu kötü aktörler, kurban ortamlarına erişirken, kendi altyapılarına erişirken ve şifre püskürtme saldırıları gerçekleştirirken NetNut'u kaynak IP adreslerini gizlemek için kullanabilirler. Ayrıca, bir tüketici cihazı çıkış düğümü haline geldiğinde, yetkisiz ağ trafiği bu cihazdan geçer. Bu, kötü aktörlerin aynı ev ağındaki diğer özel cihazlara erişebileceği ve onları etkili bir şekilde internet tehditlerine maruz bırakabileceği anlamına gelir.' dedi. Google, NetNut tarafından kötü amaçlı yazılım komuta ve kontrolü için kullanılan Google hesaplarını ve hizmetlerini devre dışı bıraktığını ve NetNut'un yazılım geliştirme kitleri (SDK'ler) ve arka uç altyapısı hakkında teknik istihbaratı platform sağlayıcıları, kolluk kuvvetleri ve araştırma firmalarıyla paylaştığını belirtti. Şirket ayrıca NetNut'un çeşitli SDK'lerini paketleyen uygulamaları da devre dışı bıraktı.
Uzmanların Görüşleri
NetNut'un ana şirketi Alarum Technologies'in hukuk danışmanı Omer Weiss, şirketin FBI'ın el koymasından haberdar olduğunu ve soruşturmacılarla işbirliği yaptığını söyledi. Weiss, 'Alarum bu konuyu ciddiye alıyor ve altyapısının herhangi bir kötüye kullanımının kapsamlı bir şekilde araştırılmasını ve sorumluların hesap vermesini sağlamak için kolluk kuvvetleriyle tam işbirliği yapacaktır.' dedi.
Proxy takip hizmeti Synthient'in kurucusu Benjamin Brundage, alan adı el koymalarının hem Popa botnet'ini hem de onun üzerinde çalışan NetNut proxy ağını bozduğunu belirtti. Brundage, NetNut'un görünürdeki çöküşünün, Google'ın bu yılın başlarında NetNut'un en büyük rakibi IPIDEA'nın altyapısına el koymasıyla zaten sarsılmış olan siber suç topluluğu için büyük bir dezavantaj olacağını söyledi. 'Bence bu müdahale büyük bir etki yaratacak çünkü NetNut, IPIDEA'nın çöküşünden sonra önemli bir popülerlik kazandı. Ayrıca NetNut, yeniden satıcılar arasında inanılmaz derecede yaygındı ve günlük trafik, kalite, boyut, gigabayt başına fiyat açısından IPIDEA ile aynı seviyedeydi.' dedi.
Önemli Gelişmeler
Brundage, NetNut ve Popa botnet müdahalesinin bir başka faydasının da, kötü yapılandırılmış konut proxy hizmetleri üzerine inşa edilmiş büyük dağıtılmış hizmet reddi (DDoS) botnet'lerinin etkisini azaltmak olabileceğini söyledi. Google'a göre, bugünkü eylemler NetNut'un proxy ağına ve iş operasyonlarına 'önemli ölçüde zarar verdi' ve proxy operatörü için mevcut cihaz havuzunu milyonlarca azalttı. Ancak şirket, proxy ağlarının IPIDEA'nın son birkaç ayda yaptığı gibi diğer proxy hizmetlerini yeniden satarak kendilerini yeniden inşa edebileceği konusunda uyarıyor. GTIG raporu, 'Google, birçok popüler konut proxy markasının aslında NetNut botnet'ini beyaz etiketlediğine yüksek güven duyuyor. Bu bozulmanın konut proxy ekosistemi genelinde daha büyük bir dalga etkisi yaratmasını beklerken, IPIDEA'nın bozulmasından sonraki gözlemler, bireysel ağların dirençli görünebileceğini kanıtladı. Gözlemlediğimiz şey, proxy operatörlerinin kendi botnet'lerinin bozulmasıyla karşı karşıya kaldıklarında, rakiplerinden kapasite satın almaya başladıkları ve etkili bir şekilde yeniden satıcı haline geldikleri. Bu akışkan ekosistemde kalıcı bir bozulma yaratmanın, birbirine bağlı birkaç sağlayıcının altyapısını hedeflemek için çabalarımızı ölçeklendirmemiz gerektiği anlamına geldiğinin farkındayız.' ifadelerine yer verdi.
Kaynak: krebsonsecurity.com