İçeriğe geç
Ravington
Akışa dön
Teknoloji

Popa Botneti Halka Açık Bir İsrail Şirketiyle İlişkilendirildi

Krebs on Security
WhatsApp

Son dört yıldır, Popa adı verilen devasa bir Android tabanlı botnet, milyonlarca tüketici TV kutusunu reklam sahtekarlığı, hesap ele geçirme ve kitlesel veri kazıma faaliyetleriyle bağlantılı internet trafiğini aktarmaya zorluyor. Birden fazla siber güvenlik firmasından araştırmacılar, bu botnetin kamuda işlem gören bir İsrail şirketi olan Alarum Technologies'in bir yan kuruluşu olan NetNut ile doğrudan bağlantılı olduğu sonucuna vardı. NetNut, müşterilerinin internet trafiğini gizlemek için gerçek ev cihazlarını kullanan bir 'residential proxy' yani konut proxy sağlayıcısı olarak faaliyet göstermektedir. Popa botneti, geleneksel botnetlerin aksine, dağıtılmış hizmet reddi (DDoS) saldırıları gibi yıkıcı faaliyetlerde bulunmak yerine belirli bir amaca hizmet etmektedir. Bu amaç, cihazları kaydetmek, uzun süreli şifreli bağlantıları sürdürmek ve isteğe bağlı olarak iletişim tünellerini açmak için kalıcı bir iletişim katmanı oluşturmaktır.

Güvenlik uzmanları, Popa'nın resmi olmayan Android tabanlı TV kutularını hedef alan geniş çaplı bir kötü amaçlı yazılım kampanyası olan Vo1d botnetiyle ilişkili bir eklenti bileşeni olduğunu belirtmektedir. Piyasada binlerce farklı marka ve model adı altında satılan ve popüler e-ticaret sitelerinde kolayca bulunabilen bu cihazlar, genellikle yüzlerce abonelikli video hizmetini tek seferlik bir ön ödemeyle izleme vaadiyle pazarlanmaktadır. Ancak FBI ve siber güvenlik uzmanlarının defalarca uyardığı üzere, bu akış kutuları genellikle kullanıcının televizyonunu farkında olmadan bir 'konut proxy'sine' dönüştüren kötü amaçlı yazılımlar içermektedir. Bu durum, cihaz prize takılı ve internete bağlı kaldığı sürece herhangi bir kişinin internet trafiğini bu cihaz üzerinden yönlendirmesine olanak tanımaktadır. Daha da endişe verici olanı ise, bu proxy ağlarının kötü niyetli kullanıcıların cihaz sahibinin yerel ağındaki sistemlerle iletişim kurmasını veya bunları ele geçirmesini engellemek için yeterli önlem almamasıdır.

Popa botnetinin kökenlerine dair ilk ipuçları, Çinli güvenlik şirketi XLAB'ın ele geçirilmiş cihazların faaliyetlerini kaydetmek ve yönlendirmek için kullanılan en az dokuz alan adını işaret ettiği bir raporla ortaya çıktı. Qurium adlı güvenlik firması ise bugün yayımladığı bir raporda, Mayıs 2026'da barındırılan kuruluşlarına yönelik bir dizi yıkıcı ve maliyetli veri kazıma olayını araştırırken aynı alan adlarından bazılarına rastladığını açıkladı. Qurium'ın araştırmasına göre, bu veri kazıma faaliyeti 1,4 milyondan fazla internet adresine eşit olarak dağıtılmış bir şekilde gerçekleştirilmişti. Şirket, Popa botnetini kontrol etmek için kullanılan ve zaman içinde birden fazla IP adresinde senkronize olarak barındırılan gmslb, safernetwork, tera-home ve ninjatech gibi onlarca alan adı bulduğunu belirtti. Derinlemesine yapılan incelemelerde, gmslb alan adının CRICFy, DooFlix ve RTS Tv gibi düzinelerce korsan veya modifiye edilmiş video içerik akış uygulamasında referans gösterildiği tespit edildi.

Qurium'ın raporuna göre, Popa botnetini kontrol etmek için uzun süredir kullanılan alan adlarının çoğu, Google, HUMAN Security ve Trend Micro'nun Vo1d ile yakından ilişkili Badbox 2.0 botnetini dağıtmak için ortaklık kurmasının ardından temmuz ayında ele geçirildi veya çökertildi. Bu operasyonun hemen ardından, botnetin kontrol mekanizmalarını yeniden inşa etmek için düzinelerce yeni alan adı kaydedildi ve faaliyete geçirildi. Ancak kurulum sürecinde kullanılan kontrol alan adlarından birinin yeni olmadığı ve daha önceden de kullanılan ninjatech.io olduğu ortaya çıktı. Ninjatech şirketi, LinkedIn profiline göre NetNut'ta araştırma ve geliştirme başkan yardımcısı olarak görev yapan Moishi Kramer tarafından kurulmuştu. Kramer'in özgeçmişinde, NetNut'un şirket olarak satın alınmasından önce bu altyapıyı sıfırdan inşa ettiği, mimarisini tasarladığı ve sistemi ölçeklendirdiği belirtiliyor.

Güvenlik araştırmacıları, ele geçirilen botnet altyapısının devasa bir proxy ağı kurmak için kötü niyetli yazılımların gizlendiği donanımları kullandığını düşünmektedir. İş arama platformu F6S'de yer alan şirket bilgileri, Ninjatech'in faaliyetlerinin net bir şekilde proxy altyapısı işletmek üzerine kurulu olduğunu doğrulamaktadır. Bu bağlantılar, siber suç operasyonlarının kamuya açık ve meşru görünen şirketlerle ne kadar karmaşık ve iç içe geçebileceğini gözler önüne sermektedir. Kullanıcıların bilgisizliğiyle ev ağlarına sızan bu cihazlar, hem bireysel gizlilik hem de kurumsal güvenlik açısından ciddi tehditler oluşturmaya devam etmektedir. Uzmanlar, tükütilere bu tür şüpheli ve lisanssız yayın cihazlarını satın almamaları ve kullanımına son vermeleri konusunda uyarılarda bulunmaya devam etmektedir.

Bu haber hakkında sor

Yanıtlar yapay zekâ tarafından, yalnızca bu haberin içeriğinden üretilir.

Bu, yapay zekâ tarafından üretilen bir özettir. Haberin tamamı kaynağındadır.

Haberin tamamını kaynağında okukrebsonsecurity.com

İlgili haberler