Lumen Technologies, Shadowserver Foundation ve ABD Gelir İdaresi'nin (IRS) Kriminal Soruşturma bölümü gibi sektör ortaklarıyla birlikte çalışan ortak operasyon, devasa proxy hizmetini besleyen dijital altyapıyı hedef aldı ve yüzlerce alan adını ele geçirdi.
Güvenlik araştırmacılarının 'Popa' botnet'i olarak da takip ettiği ağ, dünya çapında iki milyondan fazla tüketici cihazını benimseyerek bunları siber suçlular ve devlet destekli casusluk grupları için trafik yönlendirme rölelerine dönüştürdü.
FBI ve Google'ın Tehdit İstihbarat Grubu, büyük ölçekli koordineli bir uluslararası operasyonla, dünyanın en büyük ticari konut proxy ağlarından biri olan NetNut'u kesintiye uğrattı.
Popa Botnet, Akıllı TV'leri Proxy Çıkış Düğümlerine Nasıl Dönüştürdü?
Gelecekte Ne Bekleniyor?
NetNut konut proxy hizmetinin kalbinde, tasarlanmış gizli bir iletişim katmanı olan Popa botneti vardı. NetNut, yanıltıcı yazılım geliştirme kitlerini ucuz, marka dışı Android tabanlı akıllı TV'lere, akışlı medya kutularına ve SmartTube istemcisi gibi resmi olmayan uygulamalara yerleştirerek sıradan ev elektroniklerini ele geçirdi.
Tüketiciler bu cihazları taktıklarında, evlerindeki internet bağlantıları sessizce konut proxy çıkış düğümleri olarak kiraya veriliyordu. Bu, kötü amaçlı trafiğin, standart veri merkezi bloklarını ve güvenlik filtrelerini etkili bir şekilde atlayarak meşru yerel IP adresleri üzerinden yönlendirilmesine olanak sağladı.
2 Temmuz'da yayınlanan bir Google raporuna göre, en az 316 farklı tehdit kümesi, Haziran 2026'da tek bir hafta içinde şifre püskürtme kampanyaları, kimlik bilgileri doldurma, reklam sahtekarlığı ve hassas veri kazıma işlemleri gerçekleştirmek için NetNut çıkış düğümlerini kullandı.
Teknik Analiz
Gizli bilgisayar korsanlığı grupları tarafından işletilen tipik yer altı botnet'lerinin aksine, bağımsız siber güvenlik gazetecisi Brian Krebs, NetNut'un, NASDAQ'da listelenen, halka açık bir İsrail firması olan ticari bir kuruluş olan Alarum Technologies Ltd ile bağlantılı olabileceğini bildirdi.
Bu raporlama kısmen, Alarum'un üst düzey yöneticileri ile kötü amaçlı Popa yazılım tanımlı kitinin (SDK) orijinal geliştiricileri arasında doğrudan bağlantı kuran Kuryum ve Synthient gibi firmaların yaptığı güvenlik araştırmalarına dayanmaktadır.
Alarum, yazılımını geçmişte rızaya dayalı bir bant genişliği paylaşım aracı olarak pazarlamış olsa da, bağımsız teknik incelemeler, ele geçirilen ana bilgisayar uygulamalarının kullanıcılara herhangi bir açık bildirim veya izin istemi sunmada başarısız olduğunu ortaya çıkardı.
Önemli Gelişmeler
NetNut ile ilişkili belirli alan adlarının FBI tarafından ele geçirilmesine yanıt olarak Alarum Technologies şu açıklamayı yaptı: "Alarum bu konuyu ciddiye alıyor ve altyapısının kötüye kullanılmasının kapsamlı bir şekilde soruşturulmasını ve sorumluların hesap vermesini sağlamak için kolluk kuvvetleriyle tam işbirliği yapacak."
Google raporunda Alarum bağlantısından bahsedilmese de GITG araştırmacıları, NetNut'un "ağının beyaz etiketlenmesine izin veren güçlü bir satıcı programına" sahip olduğunu belirtti ve pek çok popüler konut proxy markasının aslında NetNut botnet'ini beyaz etiketlediğini "yüksek güvenle" değerlendirdi.
Şirket ayrıca Synthient, Spur, Nokia Deepfield ve diğerlerinin, NetNut'un cihazlara Mirai dağıtılmış hizmet reddi (DDoS) botnet'lerinin çeşitlerini bulaştırmak için kullanıldığını belgeleyen kamuya açık raporlarından da bahsediyor.
Sonuç ve Değerlendirme
Google ve FBI, NetNut Altyapısını Sökmek İçin Hafifletici Yöntemler Kullanıyor
Ağın kolayca yeniden inşa edilmesini önlemek için Google, FBI'ın yasal işlemlerinin yanı sıra acil teknik önlemler de uyguladı.
Şirket, NetNut tarafından kötü amaçlı yazılım komuta ve kontrolü için kullanılan tüm Google hesaplarını devre dışı bıraktı, Google Play Korumayı Android kullanıcılarını otomatik olarak uyaracak şekilde güncelledi ve ele geçirilen SDK'ları içeren uygulamaları devre dışı bıraktı.
Google, "Koordineli eylemlerimizin NetNut'un proxy ağında ve iş operasyonlarında önemli bir bozulmaya neden olduğuna ve proxy operatörü için mevcut cihaz havuzunu milyonlarca azalttığına inanıyoruz" dedi.
Şirket, bu eylemin Ocak 2026'da IPIDEA proxy ağının kesintiye uğraması üzerine inşa edildiğini belirtti.
Alan Adı Yayından Kaldırma Karışıklığı
Detaylar ve Etkileri
NetNut'un yayından kaldırılmasının ilk aşaması, tehdit istihbaratı topluluğu içinde anında tartışmalara yol açtı; bazıları, FBI'ın ele geçirme afişi netnut.com'da görünürken, NetNut'un birincil ticari alanı olan netnut.io'nun geçici olarak aktif ve erişilebilir kaldığını belirtti.
Bazı çevrimiçi yorumcular, kolluk kuvvetlerinin yanlış alanı hedeflemiş olabileceğini öne sürdü.
Ancak diğer güvenlik uzmanları, her iki alanın da aynı operasyona bağlı olduğunu açıkladı ve birincil com.com'u ele geçirirken şunları kaydetti: Mercal etki alanı, kayıt şirketi ve yargı yetkisi farklılıkları nedeniyle daha uzun sürebilir, botnet'in arka uç komuta ve kontrol sunucuları başarıyla hedeflendi ve dağıtıldı; bu da ağın genel operasyonlarını ciddi şekilde bozdu.