Federal Soruşturma Bürosu (FBI), bugün yaptığı açıklamada, sektör ortaklarıyla birlikte halka açık İsrail merkezli Alarum Technologies (NASDAQ: ALAR) tarafından işletilen geniş kapsamlı bir konut proxy hizmeti olan NetNut ile bağlantılı yüzlerce alan adına el koyduğunu duyurdu. Bu operasyon, KrebsOnSecurity'nin birden fazla güvenlik firmasının bulgularını yayınlamasından yaklaşık iki hafta sonra geldi. Söz konusu bulgular, NetNut'u en az iki milyon cihazdan oluşan ve mağdurların rızası olmadan veya çok az rızasıyla kötü amaçlı yazılım bulaştırılmış Popa botnet'i ile ilişkilendiriyordu.
19 Haziran'da üç farklı güvenlik firması benzer sonuçlar yayınladı: NetNut, Popa adlı bir botnet'i besleyen bir konut proxy ağıdır ve akıllı TV'ler ile akış kutuları gibi evlerde yaygın olarak bulunan cihazlar için yazılım dağıtmaktadır. NetNut'un yazılımı, bu sistemleri sürekli açık konut proxy düğümlerine dönüştürerek başkalarına kiralıyor; bu kişiler de ağırlıklı olarak bunları toplu içerik kazıma, reklam dolandırıcılığı ve hesap ele geçirme faaliyetleri gibi saldırgan ve müdahaleci internet trafiğini aktarmak için kullanıyor.
Bugün erken saatlerde NetNut'un ana sayfası, FBI ve İç Gelir Servisi Suç Soruşturma Birimi'nden bir el koyma bildirimi ile değiştirildi. Bildirimde, Popa botnet'i ile bağlantılı yüzlerce alan adının dağıtılmasına yardımcı olan Google, Lumen, Shadowserver ve diğer sektör ortaklarına teşekkür edildi. Uzmanlar, Popa botnet'inin uzun süredir NetNut'un konut proxy altyapısı ile eş anlamlı olduğunu belirtiyor.
Bugün yayınlanan bir blog yazısında Google Tehdit İstihbarat Grubu (GTIG), NetNut'un proxy ağının birçok üçüncü taraf proxy sağlayıcısı tarafından yeniden satıldığını ve beyaz etiketlendiğini, hizmetlerinin kötü amaçlı trafiklerinin kaynağını gizlemek isteyen siber suçlular tarafından yoğun şekilde talep edildiğini söyledi. GTIG, Haziran 2026'da tek bir hafta içinde, şüphelenilen NetNut çıkış düğümlerini kullanan 316 farklı tehdit aktörü kümesi gözlemlediklerini ve bunların arasında siber suç ve casusluk gruplarının da bulunduğunu belirtti. Google, NetNut tarafından kötü amaçlı yazılım komuta ve kontrolü için kullanılan Google hesaplarını ve hizmetlerini devre dışı bıraktığını ve NetNut'un yazılım geliştirme kitleri (SDK'ler) ve arka uç altyapısı hakkındaki teknik istihbaratı platform sağlayıcıları, kolluk kuvvetleri ve araştırma firmalarıyla paylaştığını duyurdu.
NetNut'un ana şirketi Alarum Technologies'in hukuk danışmanı Omer Weiss, şirketin FBI'ın el koyma işleminden haberdar olduğunu ve soruşturmacılarla işbirliği yaptığını söyledi. Weiss yazılı bir açıklamada, "Alarum bu konuyu ciddiye alıyor ve altyapısının herhangi bir şekilde kötüye kullanılmasının iyice araştırılması ve sorumluların hesap vermesi için kolluk kuvvetleriyle tam olarak işbirliği yapacaktır" dedi. Proxy takip hizmeti Synthient'in kurucusu Benjamin Brundage, alan adı el koymalarının hem Popa botnet'ini hem de onun üzerinde yükselen NetNut proxy ağını bozmuş gibi göründüğünü belirtti.
Detaylar ve Etkileri
Brundage, NetNut'un görünürdeki çöküşünün, Google'ın bu yılın başlarında NetNut'un en büyük rakibi IPIDEA'nın altyapısına el koymasıyla zaten sarsılmış olan siber suç topluluğu için büyük bir dezavantaj olacağını söyledi. "Bence bu müdahale büyük bir etki yaratacak çünkü NetNut, IPIDEA'nın çökertilmesinden sonra önemli bir popülerlik kazandı. Ayrıca NetNut, yeniden satıcılar arasında inanılmaz derecede yaygındı ve günlük trafik, kalite, boyut, gigabayt başına fiyat gibi konularda IPIDEA ile eşit durumdaydı," dedi. Brundage, NetNut ve Popa botnet'inin çökertilmesinin, kötü yapılandırılmış konut proxy hizmetleri üzerine inşa edilmiş büyük dağıtılmış hizmet reddi (DDoS) botnet'lerinin etkisini azaltmak gibi ek bir fayda sağlayabileceğini de sözlerine ekledi.
Google ise bugünkü operasyonların NetNut'un proxy ağında ve iş operasyonlarında "önemli bir bozulmaya" neden olduğunu ve proxy operatörü için mevcut cihaz havuzunu milyonlarca azalttığını düşünüyor. Ancak şirket, proxy ağlarının, IPIDEA'nın son birkaç ayda yaptığı gibi diğer proxy hizmetlerini etkin bir şekilde yeniden satarak kendilerini yeniden inşa edebileceği konusunda uyarıyor. GTIG raporu, "Google, birçok popüler konut proxy markasının aslında NetNut botnet'ini beyaz etiketlediğine dair yüksek güvene sahip. Bu kesintinin konut proxy ekosistemi üzerinde daha büyük bir dalga etkisi yaratmasını beklesek de, IPIDEA'nın kesintisinden sonraki gözlemler, bireysel ağların dirençli görünebileceğini kanıtladı. Gözlemlediğimiz şey, kendi botnet'lerinin bozulmasıyla karşı karşıya kaldıklarında, proxy operatörlerinin rakiplerinden kapasite satın almaya başladıkları ve etkili bir şekilde yeniden satıcı haline geldikleri. Bu akışkan ekosistemde kalıcı bir kesinti yaratmanın, birbirine bağlı birkaç sağlayıcının altyapısını hedeflemek için çabalarımızı ölçeklendirmemiz gerektiği anlamına geldiğini kabul ediyoruz," sonucuna varıyor.
Kaynak: krebsonsecurity.com