FBI ve Google Tehdit İstihbarat Grubu (GITG), dünyanın en büyük ticari konut proxy ağlarından NetNut'u çökerten uluslararası bir operasyona imza attı. Lumen Technologies, Shadowserver Foundation ve ABD Gelir İdaresi (IRS) Kriminal Soruşturma Birimi'nin de dahil olduğu operasyonda yüzlerce alan adı ele geçirildi. Güvenlik araştırmacılarının 'Popa' botneti olarak da izlediği ağ, dünya genelinde 2 milyondan fazla tüketici cihazını ele geçirerek siber suçlular ve devlet destekli casusluk grupları için trafik yönlendirme rölesi haline getirmişti.
NetNut konut proxy hizmetinin kalbinde Popa botneti yer alıyordu. Bu botnet, düşük maliyetli, markasız Android tabanlı akıllı TV'lere, medya oynatıcılara ve SmartTube gibi resmi olmayan uygulamalara zararlı yazılım geliştirme kitleri (SDK) gömerek sıradan ev elektroniğini ele geçiriyordu. Kullanıcılar bu cihazları prize taktığında, ev internet bağlantıları sessizce konut proxy çıkış düğümü olarak kiralanıyordu. Bu sayede kötü niyetli trafik, meşru ev IP adresleri üzerinden yönlendirilerek standart veri merkezi bloklarını ve güvenlik filtrelerini atlatabiliyordu.
Google'ın 2 Temmuz'da yayımladığı rapora göre, Haziran 2026'da tek bir haftada en az 316 farklı tehdit kümesi NetNut çıkış düğümlerini kullanarak parola püskürtme saldırıları, kimlik bilgisi doldurma, reklam dolandırıcılığı ve hassas veri kazıma gerçekleştirdi. Bağımsız siber güvenlik gazetecisi Brian Krebs, NetNut'un NASDAQ'ta işlem gören İsrailli halka açık bir şirket olan Alarum Technologies Ltd ile bağlantılı olduğunu bildirdi. Qurium ve Synthient gibi firmaların soruşturmaları, Alarum'un üst yönetimi ile Popa SDK'sının orijinal geliştiricileri arasında doğrudan bağlantılar tespit etti.
Alarum Technologies, ürününü rızaya dayalı bant genişliği paylaşım aracı olarak pazarlasa da bağımsız incelemeler, ele geçirilen uygulamaların kullanıcılara net bir bildirim veya onay istemi sunmadığını ortaya koydu. FBI'ın NetNut ile ilişkili bazı alan adlarına el koymasının ardından Alarum Technologies, 'Bu konuyu ciddiye alıyoruz ve altyapımızın kötüye kullanımının kapsamlı şekilde soruşturulması ve sorumluların hesap vermesi için kolluk kuvvetleriyle tam iş birliği yapacağız' açıklamasında bulundu. Google raporu Alarum bağlantısından bahsetmezken, GITG araştırmacıları NetNut'un 'ağının beyaz etiketlenmesine izin veren sağlam bir bayi programı' olduğunu ve birçok popüler konut proxy markasının aslında NetNut botnetini beyaz etiketlediğini 'yüksek güvenle' değerlendirdi.
Sonuç ve Değerlendirme
Ağı kolayca yeniden yapılanmaktan korumak için Google, FBI'ın yasal işlemlerinin yanı sıra anında teknik önlemler uyguladı. Şirket, NetNut tarafından kötü amaçlı yazılım komuta ve kontrolü için kullanılan tüm Google hesaplarını devre dışı bıraktı, Google Play Protect'i Android kullanıcılarını otomatik olarak uyaracak şekilde güncelledi ve güvenliği ihlal edilmiş SDK'ları içeren uygulamaları devre dışı bıraktı. Google, 'Koordineli eylemlerimizin NetNut'un proxy ağına ve iş operasyonlarına önemli ölçüde zarar verdiğine, proxy operatörü için kullanılabilir cihaz havuzunu milyonlarca azalttığına inanıyoruz' dedi. Şirket, bu operasyonun Ocak 2026'daki IPIDEA proxy ağı müdahalesinin üzerine inşa edildiğini belirtti.
Gelecekte Ne Bekleniyor?
NetNut müdahalesinin ilk aşaması, tehdit istihbarat topluluğunda tartışmalara yol açtı. FBI'ın el koyma bildirimi netnut.com'da görünürken, NetNut'un ana ticari alan adı netnut.io geçici olarak aktif ve erişilebilir durumdaydı. Bazı yorumcular kolluk kuvvetlerinin yanlış alan adını hedef aldığını öne sürse de diğer güvenlik uzmanları her iki alan adının da aynı operasyona bağlı olduğunu ve ana ticari alan adına el koymanın kayıt kuruluşu ve yargı farklılıkları nedeniyle daha uzun sürebileceğini, ancak botnetin arka uç komuta ve kontrol sunucularının başarıyla hedeflenip söküldüğünü ve ağın genel operasyonlarının ciddi şekilde zayıflatıldığını belirtti.
Kaynak: infosecurity-magazine.com