Google, NetNut Proxy Ağını Çökertti: 2 Milyon Cihaz Etkilenmişti
Google'ın ortak operasyonuyla, 2 milyon Android cihazdan oluşan NetNut proxy ağı etkisiz hale getirildi. Bu durum siber suçluların faaliyetlerini zorlaştıracak.

Görsel kaynağı: bleepstatic.com
Google'ın öncülüğünde gerçekleştirilen ortak bir operasyon, milyonlarca tehlikeli Android cihazın erişimini sağlayan NetNut isimli konut proxy ağını etkisiz hale getirdi. Bu ağ, siber suçluların ve casusluk gruplarının meşru ev internet adresleri arkasına gizlenerek saldırılar düzenlemesine olanak tanıyordu.
NetNut, Popa olarak da biliniyor ve Google Tehdit İstihbarat Grubu'na (GTIG) göre, bu konut proxy botnetinin en az iki milyon enfekte cihazdan oluştuğu tahmin ediliyor. Google, BleepingComputer'a yaptığı açıklamada, "GTIG, NetNut'ın dünya genelinde en az 2 milyon enfekte cihazı kontrol ettiğini, bunların arasında akıllı TV'ler ve yayın kutuları bulunduğunu" belirtti.
Konut proxy ağları, ev sistemlerini ele geçirerek bu sistemlere erişim satılması yoluyla çalışıyor. Böylece tehdit aktörleri, kötü amaçlı trafiği kurbanların konut IP adresleri üzerinden yönlendirerek gizlenebiliyorlar. Genellikle, ev cihazları, ya satın alma öncesinde önceden yüklenmiş kötü amaçlı yazılımlar ya da kullanıcı tarafından indirilen zararlı veya trojan uygulamalar aracılığıyla enfekte olarak botnetin bir parçası haline geliyor.
Enfekte olmuş tüketici cihazları, botnet içerisinde çıkış noktası olarak görev yaparak yetkisiz ağ trafiğini kendi konut IP adresleri üzerinden yönlendiriyor. Bu durum, cihazların şüpheli olarak işaretlenmesine veya internet servis sağlayıcıları ya da çevrimiçi hizmetler tarafından engellenmesine neden olabiliyor.
NetNut botnetinin çökertilmesi, Google, FBI, Lumen Technologies, The Shadowserver Foundation ve diğer endüstri ortaklarının yer aldığı koordineli bir çaba gerektirdi. Bu kötü niyetli proxy servisi, dünya üzerindeki en büyük ağlardan biri olarak kabul ediliyor ve yüzlerce tehdit aktörü tarafından kullanılıyor.
NetNut’ın kullandığı çok sayıda alan adı bulunuyor; bunlardan biri olan netnut.com, FBI tarafından kapatıldı. Mandiant'tan Mark Karayan, BleepingComputer'a yaptığı açıklamada, "Kesinti ekibiyle kontrol ettim ve .com alan adının da diğer kapatılan alan adlarıyla birlikte onların tarafından kullanıldığını doğruladım" dedi.
GTIG, geçen ay bir hafta içerisinde "şüpheli NetNut çıkış noktalarını kullanan 316 farklı tehdit kümesi gözlemlediğini" bildirdi. Araştırmacılara göre, tehdit aktörleri NetNut'ı kendi altyapılarına erişim sağlamak, şifre denemeleri yapmak ve kurban ortamlarına ulaşmak için kullandı.
Google, NetNut operatörlerinin kötü amaçlı yazılım komut ve kontrol (C2) için kullandığı hesapları ve hizmetleri devre dışı bırakarak "kritik arka uç altyapısına" erişimi engelledi. Şirket, Google Play Protect aracılığıyla enfekte uygulamaları otomatik olarak devre dışı bırakarak kullanıcıları korudu.
Ayrıca, Google, NetNut'ın yazılım geliştirme kitleri (SDK'lar) ve arka uç komut ve kontrol (C2) altyapısı hakkında teknik detayları platform sağlayıcıları, kolluk kuvvetleri ve siber güvenlik araştırmacılarıyla paylaştı.
Google, NetNut'ı çökertmenin proxy endüstrisinde daha geniş etkilere sahip olmasını bekliyor. Çünkü bu botnet, "ağının beyaz etiketlenmesine olanak tanıyan sağlam bir yeniden satıcı programına" sahip ve birçok popüler konut proxy hizmeti NetNut tarafından destekleniyor. Karayan, BleepingComputer'a yaptığı açıklamada, bir proxy hizmetinin çökertilmesinin genellikle operatörleri rakip sağlayıcılardan yedek kapasite satın almaya yönlendirdiğini ve bu durumun onları yeniden satıcı haline getirdiğini belirtti.
NetNut'a karşı gerçekleştirilen bu eylem, Google'ın konut proxy botnetlerini çökertme taahhüdünün bir parçası ve bu yıl IPIDEA'nın çökertilmesinin ardından geldi.
Yazar: Burak Arslan
Siber Güvenlik ve Donanım Uzmanı
Siber güvenlik, veri gizliliği ve donanım mimarileri alanında derinlemesine analizler yapan uzman.
Tüm yazılarını gör






