FBI ve Google Tehdit İstihbarat Grubu (GTIG), dünyanın en büyük ticari residential proxy ağlarından NetNut'u çökertmek için uluslararası bir operasyon gerçekleştirdi. Lumen Technologies, Shadowserver Foundation ve ABD İç Gelir Servisi (IRS) Kriminal Soruşturma birimiyle ortak yürütülen operasyonda, proxy hizmetini besleyen dijital altyapı hedef alındı ve yüzlerce alan adına el konuldu. Güvenlik araştırmacılarının 'Popa' botnet'i olarak da izlediği ağ, dünya genelinde 2 milyondan fazla tüketici cihazını ele geçirerek siber suçlular ve devlet destekli casusluk grupları için trafik yönlendirme rölesi haline getirmişti.
NetNut residential proxy hizmetinin kalbinde, mühendislik ürünü gizli bir iletişim katmanı olan Popa botnet'i yer alıyordu. NetNut, düşük maliyetli, markasız Android tabanlı akıllı TV'lere, medya oynatıcılara ve SmartTube gibi resmi olmayan uygulamalara kötü niyetli yazılım geliştirme kitleri (SDK) yerleştirerek sıradan ev elektroniğini ele geçirdi. Kullanıcılar bu cihazları prize taktığında, ev internet bağlantıları sessizce residential proxy çıkış düğümü olarak kiralanıyordu. Bu sayede kötü amaçlı trafik, meşru ev IP adresleri üzerinden yönlendirilerek standart veri merkezi bloklarını ve güvenlik filtrelerini aşabiliyordu.
Google'ın 2 Temmuz'da yayınladığı rapora göre, Haziran 2026'da bir hafta içinde en az 316 farklı tehdit kümesi NetNut çıkış düğümlerini kullanarak şifre püskürtme (password spraying) saldırıları, kimlik bilgisi doldurma (credential stuffing), reklam sahtekarlığı ve hassas veri kazıma gibi faaliyetler yürüttü. Bağımsız siber güvenlik gazetecisi Brian Krebs'in aktardığına göre, NetNut tipik yeraltı botnet'lerinden farklı olarak NASDAQ'ta halka açık bir İsrail şirketi olan Alarum Technologies Ltd.'ye bağlanabiliyor. Qurium ve Synthient gibi firmaların soruşturmaları, Alarum'un üst yönetimi ile Popa kötü amaçlı SDK'sının orijinal geliştiricileri arasında doğrudan bağlantılar olduğunu ortaya koydu.
Alarum Technologies, NetNut'la bağlantılı bazı alan adlarına FBI tarafından el konulmasına yanıt olarak, 'Alarum bu konuyu ciddiye almakta ve altyapısının kötüye kullanımının kapsamlı bir şekilde araştırılması ve sorumluların hesap vermesi için kolluk kuvvetleriyle tam işbirliği yapacaktır' açıklamasını yaptı. Google raporu Alarum bağlantısından bahsetmezken, GTIG araştırmacıları NetNut'un 'ağının beyaz etiketlenmesine izin veren sağlam bir bayi programına sahip olduğunu' ve birçok popüler residential proxy markasının aslında NetNut botnet'ini beyaz etiketlediğini 'yüksek güvenle' değerlendirdiklerini belirtti. Şirket ayrıca Synthient, Spur, Nokia Deepfield ve diğerlerinin NetNut'un Mirai DDoS botnet varyantlarıyla cihazları enfekte etmek için kullanıldığını belgeleyen kamuya açık raporlarından bahsetti.
Detaylar ve Etkileri
NetNut altyapısını dağıtmak için Google, FBI'ın yasal işlemlerinin yanı sıra anında teknik önlemler uyguladı. Şirket, NetNut tarafından kötü amaçlı yazılım komuta-kontrol için kullanılan tüm Google hesaplarını devre dışı bıraktı, Google Play Protect'i Android kullanıcılarını otomatik olarak uyarmak üzere güncelledi ve tehlikeye atılmış SDK'ları içeren uygulamaları devre dışı bıraktı. Google, 'Koordine eylemlerimizin NetNut'un proxy ağına ve iş operasyonlarına önemli ölçüde zarar verdiğine, proxy operatörü için mevcut cihaz havuzunu milyonlarca azalttığına inanıyoruz' dedi. Şirket, bu operasyonun Ocak 2026'da IPIDEA proxy ağının çökertilmesinin üzerine inşa edildiğini belirtti.
Teknik Analiz
NetNut çökertmesinin ilk aşaması, tehdit istihbarat topluluğunda tartışmalara yol açtı. Bazıları FBI'ın el koyma başlığının netnut.com'da görünmesine rağmen, NetNut'un birincil ticari alan adı netnut.io'nun geçici olarak erişilebilir kaldığına dikkat çekti. Bazı çevrimiçi yorumcular, kolluk kuvvetlerinin yanlış alan adını hedef almış olabileceğini öne sürdü. Ancak diğer güvenlik uzmanları, her iki alan adının da aynı operasyona bağlı olduğunu açıkladı ve birincil ticari alan adına el koymanın kayıt kuruluşu ve yargı farklılıkları nedeniyle daha uzun sürebileceğini, ancak botnet'in arka uç komuta-kontrol sunucularının başarıyla hedef alındığını ve dağıtıldığını, ağın genel operasyonlarını ciddi şekilde zayıflattığını belirtti.
Kaynak: infosecurity-magazine.com