Google, 2 Milyon Ev Cihazını Kapsayan NetNut Proxy Ağına Darbe Vurdu Windows

Google, 2 Milyon Ev Cihazını Kapsayan NetNut Proxy Ağına Darbe Vurdu

Google, FBI ve ortaklarıyla birlikte 2 milyon ev cihazını kapsayan NetNut proxy ağını büyük ölçüde çökertti. İşte detaylar.

Google, FBI, Lumen ve diğer kuruluşlarla işbirliği yaparak, dünya genelinde 2 milyondan fazla ev cihazını kapsayan NetNut (Popa olarak da bilinir) adlı büyük bir konut proxy ağına darbe vurdu. Google Tehdit İstihbarat Grubu (GTIG), bu ağın kullanılabilir cihaz havuzunu milyonlarca azalttığını duyurdu. NetNut, akıllı TV'ler ve medya oynatıcılar gibi ev cihazlarına bulaşarak, siber suçluların bu cihazlar üzerinden trafik yönlendirmesine olanak tanıyor. Evinizdeki bir cihaz bu ağa dahilse, yabancılar internet bağlantınızı kullanarak kendi trafiklerini yönlendirebiliyor ve yaptıkları her şey sizin IP adresinize yazılıyor.

Konut proxy ağları, gerçek ev internet adreslerine erişim satar. Saldırganlar, güvenlik araçlarının engelleme eğiliminde olduğu veri merkezi trafiği yerine sıradan ev kullanımı gibi görünmesi için trafiklerini sizin bağlantınız üzerinden yönlendirmek için ödeme yapar. Bu ağı oluşturmak için operatörlerin kodlarını ev cihazlarına yüklemesi gerekir. Bazı cihazlar, ucuz markalı donanımlarda önceden yüklenmiş olarak gelir; diğerleri ise ücretsiz bir uygulama yüklendiğinde bu kodu alır. Çalışmaya başladığında cihaz, diğer kişilerin trafiğinin geçtiği bir 'çıkış düğümü' haline gelir. Google, çıkış düğümünün dış trafiği ev ağına getirerek saldırganlara diğer cihazlara erişim sağladığını belirtiyor. Bu ev cihazlarının bazıları ayrıca Mirai ve Badbox 2.0 gibi büyük botnet'lere de dahil edilmiş durumda.

NetNut, çoğu proxy botnet'inden farklı olarak halka açık bir şirkete dayanıyor. Haziran ayında Qurium, Synthient, Nokia Deepfield ve Spur araştırmacıları, Popa'yı NetNut'a bağladı. NetNut, halka açık İsrailli şirket Alarum Technologies'in (NASDAQ: ALAR) sahibi olduğu bir proxy sağlayıcı. Synthient, kontrollü bir testte NetNut'un ticari ağ geçidine gönderilen trafiğin, Popa'ya kaydettiği bir cihazdan çıktığını bildirdi. Alarum Technologies ise 'botnet' etiketini reddederek araştırmanın 'doğrulanmamış iddialar ve hatalı çıkarımlar' içerdiğini savundu. Ancak Synthient, incelediği 20'den fazla uygulamadan hiçbirinin kullanıcılara açık bir onay istemi göstermediğini rapor etti. Google, NetNut'u ortadan kaldırmanın zor olduğunu çünkü NetNut'un, diğer şirketlerin kendi markaları altında ağı satmasına izin veren bir bayi programı işlettiğini belirtiyor. Bu nedenle, tek bir müdahale birçok bağımsız görünen markayı etkiliyor.

Nasıl Önlem Alınmalı?

Google, bu operasyonu bir 'öldürme' değil, 'zayıflatma' olarak nitelendiriyor. Daha önce IPIDEA ağına yapılan müdahalenin, bu ağların dirençli olabileceğini gösterdiğini belirten Google, kalıcı hasar için birden fazla bağlantılı sağlayıcıya aynı anda müdahale edilmesi gerektiğini vurguluyor. Kullanıcılar için en net uyarı işareti, 'kullanılmayan bant genişliğiniz' veya 'internetinizi paylaşmanız' karşılığında ödeme teklif eden uygulamalardır. Bunun ötesinde, resmi uygulama mağazalarını kullanmak, VPN uygulamalarının izinlerini kontrol etmek, Google Play Protect gibi yerleşik korumaları açık tutmak ve bilinmeyen markalardan medya oynatıcı satın almamak öneriliyor. Alarum Technologies ise müdahale sonrası yaptığı açıklamada, FBI'ın bazı alan adlarına el koyduğunu ve konuyu ciddiye alarak kolluk kuvvetleriyle tam işbirliği yapacaklarını bildirdi.

Paylaş: