Google'ın Tehdit İstihbarat Grubu (GTIG), FBI, Lumen ve diğer kuruluşlarla işbirliği içinde, dünya genelinde 2 milyondan fazla ev cihazını kapsayan NetNut rezidansiyel proxy ağını büyük ölçüde çökertti. NetNut, kullanıcıların evlerindeki akıllı TV, streaming kutusu ve modem gibi cihazları, başkalarının trafiğini yönlendirmek için kiralık birer 'çıkış düğümüne' dönüştüren bir ağ olarak biliniyor. Google, bu operasyonla ağın kullanılabilir cihaz havuzunu milyonlarca azalttığını açıkladı. NetNut, aynı zamanda Popa olarak da izlenen ve ev cihazlarına yayılmış bir botnet olarak tanımlanıyor.
Rezidansiyel proxy ağları, saldırganlara gerçek ev IP adreslerine erişim sağlıyor. Saldırganlar, trafiğini sizin internet bağlantınız üzerinden yönlendirerek, veri merkezi trafiğini engelleyen güvenlik araçlarından kaçıyor. Bu ağlar, cihazlara önceden yüklenmiş yazılımlar veya ücretsiz uygulamalar aracılığıyla bulaşıyor. Google, bir çıkış düğümünün dış trafiği ev ağına taşıdığını ve saldırganlara diğer cihazlara erişim sağladığını belirtiyor. Ayrıca, bu cihazların bir kısmının Mirai ve Badbox 2.0 gibi büyük saldırı botnetlerine dahil edildiği tespit edildi. Haziran ayında bir haftada, GTIG NetNut çıkış düğümlerini kullanan 316 farklı tehdit kümesi belirledi; bunlar arasında siber suç ve casusluk grupları da bulunuyor.
NetNut, çoğu proxy botnetinden farklı olarak halka açık bir şirkete ait. İsrail merkezli Alarum Technologies (NASDAQ: ALAR) tarafından işletilen NetNut, Haziran ayında yapılan bir araştırmada Popa ile ilişkilendirildi. Araştırmacılar, NetNut'un ticari ağ geçidine gönderilen trafiğin, Popa'ya kayıtlı bir cihazdan çıktığını kanıtladı. Alarum, 'botnet' etiketini reddederek yazılımlarının onaylı bant genişliği paylaşımı için olduğunu ve cihazları tehlikeye atmadığını savunuyor. Ancak Synthient, incelediği 20'den fazla uygulamanın hiçbirinde kullanıcılara onay istemi gösterilmediğini raporladı.
NetNut'u tamamen durdurmak zor çünkü ağ, yeniden satıcı programı sayesinde başka markalar altında da faaliyet gösteriyor. Google, popüler görünen birçok proxy markasının aslında aynı NetNut havuzunu yeniden sattığına yüksek güven duyduklarını belirtiyor. Bu nedenle, tek bir müdahale birçok markayı etkiliyor. Google, bu operasyonu 'öldürme' değil 'zayıflatma' olarak nitelendiriyor. Daha önce IPIDEA ağına yapılan müdahalede görüldüğü gibi, bu ağlar rakiplerden kapasite satın alarak dirençli hale gelebiliyor. Google, kalıcı hasar için birkaç bağlı sağlayıcıya aynı anda müdahale edilmesi gerektiğini vurguluyor.
Tüketiciler için en açık uyarı işareti, 'kullanılmayan bant genişliğiniz' veya 'internetinizi paylaşın' karşılığında para teklif eden uygulamalardır. Bunun dışında, resmi uygulama mağazalarını kullanmak, VPN veya proxy uygulamalarının istediği izinleri kontrol etmek, Google Play Protect gibi yerleşik korumaları açık tutmak ve bilinmeyen markalardan streaming kutusu veya akıllı TV satın almamak önemlidir. Bu ev adreslerine olan talep, bir ağ çöktüğünde yok olmaz, sadece başka yere kayar. Savunmacılar, NetNut bağlantılı trafiğin yeniden satıcı markalar altında yeniden ortaya çıkıp çıkmadığını izlemelidir.
Alarum Technologies, operasyon sonrası resmi bir açıklama yaptı. Şirketin hukuk danışmanı Omer Weiss, Alarum ve NetNut'un 2 Temmuz 2026'da FBI'ın bazı alan adlarına el koyduğundan haberdar olduklarını belirtti. Weiss, 'Şirket bu meseleyi ciddiye alıyor ve altyapısının kötüye kullanımının tam olarak araştırılması ve sorumluların hesap vermesi için kolluk kuvvetleriyle tam işbirliği yapacaktır' dedi. Google'ın bu operasyonu, rezidansiyel proxy ağlarına karşı mücadelenin ne kadar karmaşık olduğunu bir kez daha gözler önüne seriyor.
Kaynak: thehackernews.com