FBI ve Google Tehdit İstihbarat Grubu (GTIG), dünyanın en büyük ticari residential proxy ağlarından NetNut'u çökertmek için uluslararası bir operasyon gerçekleştirdi. Lumen Technologies, Shadowserver Vakfı ve ABD Gelir İdaresi’nin (IRS) Kriminal Soruşturma birimiyle ortaklaşa yürütülen bu operasyon, yüzlerce alan adının ele geçirilmesiyle sonuçlandı. NetNut ağı, güvenlik araştırmacıları tarafından 'Popa' botneti olarak da izleniyordu ve dünya genelinde 2 milyondan fazla tüketici cihazını ele geçirerek bunları siber suçlular ve devlet destekli casusluk grupları için trafik yönlendirme rölesine dönüştürmüştü.
Popa botneti, NetNut residential proxy hizmetinin kalbinde yer alıyordu. Bu botnet, mühendislik ürünü gizli bir iletişim katmanıydı. NetNut, ucuz ve markasız Android tabanlı akıllı TV'ler, medya oynatıcılar ve SmartTube gibi resmi olmayan uygulamalara kötü niyetli yazılım geliştirme kitleri (SDK) yerleştirerek sıradan ev elektroniğini ele geçirdi. Kullanıcılar bu cihazları fişe taktıklarında, ev internet bağlantıları sessizce residential proxy çıkış düğümleri olarak kiralanıyordu. Bu sayede kötü amaçlı trafik, meşru ev IP adresleri üzerinden yönlendirilerek standart veri merkezi bloklarını ve güvenlik filtrelerini aşabiliyordu.
Google'ın 2 Temmuz'da yayımladığı bir rapora göre, Haziran 2026'da bir haftada en az 316 farklı tehdit kümesi NetNut çıkış düğümlerini kullanarak parola püskürtme saldırıları, kimlik bilgisi doldurma, reklam dolandırıcılığı ve hassas veri kazıma gerçekleştirdi. Bağımsız siber güvenlik gazetecisi Brian Krebs, NetNut'un tipik yeraltı botnetlerinin aksine, NASDAQ'ta işlem gören İsrail merkezli halka açık bir şirket olan Alarum Technologies Ltd'ye bağlanabileceğini bildirdi. Bu iddia, Qurium ve Synthient gibi firmaların güvenlik araştırmalarına dayanıyor; bu firmalar, Alarum'un yönetici liderliği ile kötü amaçlı Popa SDK'sının orijinal geliştiricileri arasında doğrudan bağlantılar tespit etti.
Sistem Güvenliği
Alarum, yazılımını gönüllü bant genişliği paylaşım aracı olarak pazarlasa da bağımsız teknik incelemeler, ele geçirilen ana bilgisayar uygulamalarının kullanıcılara net bir bildirim veya onay istemi sunmadığını ortaya koydu. FBI'ın NetNut ile bağlantılı bazı alan adlarına el koymasının ardından Alarum Technologies, "Alarum bu konuyu ciddiye almakta ve altyapısının kötüye kullanımının kapsamlı bir şekilde araştırılması ve sorumluların hesap vermesi için kolluk kuvvetleriyle tam işbirliği yapacaktır" açıklamasını yaptı. Google raporu Alarum bağlantısından bahsetmezken, GTIG araştırmacıları NetNut'un "ağının beyaz etiketlenmesine izin veren sağlam bir bayi programına" sahip olduğunu ve birçok popüler residential proxy markasının aslında NetNut botnetini beyaz etiketlediğini "yüksek güvenle" değerlendirdiklerini belirtti.
NetNut altyapısını sökmek için FBI'ın yasal işlemlerinin yanı sıra Google da anında teknik önlemler devreye soktu. Şirket, NetNut tarafından kötü amaçlı yazılım komuta-kontrolü için kullanılan tüm Google hesaplarını devre dışı bıraktı, Google Play Protect'i Android kullanıcılarını otomatik olarak uyaracak şekilde güncelledi ve tehlikeye atılmış SDK'ları içeren uygulamaları devre dışı bıraktı. Google, "Koordine eylemlerimizin NetNut'un proxy ağına ve iş operasyonlarına önemli ölçüde zarar verdiğine, proxy operatörü için mevcut cihaz havuzunu milyonlarca azalttığına inanıyoruz" dedi. Şirket, bu eylemin Ocak 2026'daki IPIDEA proxy ağının bozulmasının üzerine inşa edildiğini belirtti.
Sonuç ve Değerlendirme
NetNut müsaderesinin ilk aşaması, tehdit istihbarat topluluğunda tartışmalara yol açtı. FBI'ın müsadere bildirimi netnut.com'da görünürken, NetNut'un ana ticari alan adı netnut.io geçici olarak aktif ve erişilebilir kaldı. Bazı yorumcular, kolluk kuvvetlerinin yanlış alan adını hedeflemiş olabileceğini öne sürdü. Ancak diğer güvenlik uzmanları, her iki alan adının da aynı operasyona bağlı olduğunu ve ana ticari alan adının ele geçirilmesinin kayıt kurumu ve yargı farklılıkları nedeniyle daha uzun sürebileceğini, ancak botnetin arka uç komuta-kontrol sunucularının başarıyla hedeflenip söküldüğünü ve ağın genel operasyonlarını ciddi şekilde zayıflattığını belirtti.
Kaynak: infosecurity-magazine.com