Google destekli operasyonla NetNut proxy ağına darbe: 2 milyon enfekte cihazın bağlantısı kesildi
Google, FBI, Lumen Technologies ve The Shadowserver Foundation'ın da yer aldığı ortak operasyon kapsamında, milyonlarca ele geçirilmiş Android cihazını kullanan NetNut isimli büyük ölçekli konut tipi (residential) proxy ağına müdahale edildi. Yetkililer, operasyonun siber suç gruplarının altyapısını önemli ölçüde etkilediğini ve benzer hizmetlere karşı mücadelenin süreceğini belirtti.
Google'ın da aralarında bulunduğu uluslararası ortak operasyon kapsamında, NetNut (Popa) olarak bilinen ve milyonlarca ele geçirilmiş Android cihazını kullanan konut tipi proxy ağına yönelik geniş çaplı bir müdahale gerçekleştirildi. Operasyona Google, ABD Federal Soruşturma Bürosu (FBI), Lumen Technologies, The Shadowserver Foundation ve diğer sektör ortakları katıldı.
Google Threat Intelligence Group (GTIG), "NetNut'un dünya genelinde akıllı televizyonlar ve yayın kutuları da dahil olmak üzere en az 2 milyon enfekte cihazı kontrol ettiğini tahmin ediyoruz." açıklamasını yaptı. Şirket, bu cihazların trojanlaştırılmış uygulamalar ve Badbox 2.0 gibi botnet'ler aracılığıyla proxy eklentileriyle çalıştırıldığını bildirdi.
Milyonlarca cihaz kötü amaçlı trafik için kullanıldı
Araştırmacılara göre NetNut, siber suçluların ve casusluk faaliyetlerinde bulunan grupların saldırılarını gerçek ev internet bağlantıları üzerinden gerçekleştiriyormuş gibi göstermesine olanak sağlıyordu. Bu yöntem sayesinde saldırganlar kötü amaçlı trafiği mağdurların IP adresleri üzerinden yönlendirerek kimliklerini gizleyebiliyordu.
Google, enfekte cihazların önemli bölümünün satın alma öncesinde zararlı yazılım yüklenmiş ürünlerden veya kullanıcıların indirdiği zararlı uygulamalardan etkilendiğini belirtti. Enfekte edilen cihazlar daha sonra botnet'in çıkış noktaları olarak kullanılarak yetkisiz internet trafiğini yönlendirdi.
FBI alan adına el koydu
Operasyon kapsamında NetNut tarafından kullanılan alan adlarından biri olan netnut.com FBI tarafından ele geçirildi.
Mandiant İletişim Müdürü Mark Karayan, BleepingComputer'a yaptığı açıklamada, ".com alan adının da diğer kapatılan alan adlarıyla birlikte bu yapı tarafından kullanıldığını doğruladık." ifadelerini kullandı.
GTIG ise geçen ay yalnızca bir haftalık süreçte NetNut çıkış düğümlerini kullandığı değerlendirilen 316 farklı tehdit kümesini gözlemlediklerini açıkladı. Google, "Bu gruplar NetNut'u kendi altyapılarına erişmek, parola püskürtme saldırıları gerçekleştirmek ve hedef sistemlere ulaşmak amacıyla kullandı." değerlendirmesinde bulundu.
Google altyapıyı devre dışı bıraktı
Google, NetNut operatörlerinin komuta ve kontrol (C2) altyapısında kullandığı hesap ve hizmetleri devre dışı bıraktığını, böylece kritik arka uç sistemlerine erişimin engellendiğini duyurdu.
Şirket ayrıca Google Play Protect aracılığıyla kullanıcıları otomatik olarak uyardığını ve tespit edilen zararlı uygulamaları devre dışı bıraktığını açıkladı. NetNut'un yazılım geliştirme kitleri (SDK) ve komuta kontrol altyapısına ilişkin teknik bilgiler ise platform sağlayıcıları, kolluk kuvvetleri ve siber güvenlik araştırmacılarıyla paylaşıldı.
"Proxy sektörü birbirine bağlı çalışıyor"
Mark Karayan, "Proxy sektörü son derece bağlantılı bir yapıdan oluşuyor. Operatörler sürekli olarak birbirlerinin botnet kapasitesini satın alıp yeniden satıyor. NetNut ise dünyanın en büyük ve en popüler konut tipi proxy ağlarından biri." ifadelerini kullandı.
Google, NetNut'un güçlü bir bayi ve beyaz etiket (whitelabel) programına sahip olduğunu belirterek operasyonun yalnızca bu ağı değil, aynı zamanda altyapısını kullanan çok sayıda proxy hizmetini de etkilemesinin beklendiğini kaydetti.
Şirket, NetNut operasyonunun yılın başlarında gerçekleştirilen IPIDEA müdahalesinin ardından, konut tipi proxy botnet'lerine karşı yürütülen çalışmaların devamı niteliğinde olduğunu bildirdi.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğen
0
Beğenmiyorum
0
Aşk
0
Komik
0
Öfkeli
0
Üzgün
0
Vay
0