Türkiye'de yapılan kapsamlı bir operasyonla, 17 milyondan fazla cihazı kapsayan ve 200 sunucu tarafından yönetilen devasa bir botnet ağı çökertildi. Emniyet güçleri ve Ulusal Siber Güvenlik Merkezi'nin (USGM) ortaklaşa yürüttüğü çalışma, siber suç dünyasına önemli bir darbe vurdu.
Perşembe günü duyurulan bu başarı, bir güvenlik araştırmacısının geniş çaplı ağı yetkililere bildirmesi üzerine başlatılan bir sürecin sonucunda elde edildi. Botnet'in barındırma altyapısının Türkiye'de bulunması, operasyonun yerel düzeyde yürütülmesini sağladı.
Suç Faaliyetlerinde Kullanılmış
USGM'den yapılan açıklamada, "Emniyet güçleri, soruşturma kapsamında bir barındırma sağlayıcısından çok sayıda botnet sunucusuna el koydu." denildi. "Botnet, suç faaliyetlerinde kullanıldığı için barındırma sağlayıcısı tarafından çevrimdışı bırakıldı."
Perşembe günü yerel bir haber sitesinde yer alan bir rapora göre, botnetin Türkiye merkezli bir proxy hizmeti sağlayıcısıyla bağlantılı olduğu belirtildi. Bu tür proxy hizmetleri, kullanıcıların internet trafiğini üçüncü taraf cihazlar üzerinden yönlendirerek konumlarını veya kimliklerini gizlemelerini sağlıyor. Proxy hizmetleri genellikle DDoS saldırıları düzenleme, botnet komuta-kontrol sunucuları çalıştırma, kimlik avı operasyonları yürütme ve web sitesi içeriklerini kazıma gibi yasa dışı veya etik olmayan amaçlar için kullanılıyor.
Yerel haber sitesinin raporu bağımsız olarak doğrulanamasa da, iddiaların dikkate değer olduğu görülüyor. Perşembe günkü USGM duyurusu, sivil toplum kuruluşu tarafından bir gün önce yayınlanan ayrı bir yayına bağlantı veriyordu. Bu yayının başlığı ise "Türkiye'deki dijital güvenliğe büyük etkisi olan proxy'ler" idi. Bu yayında, "Proxy'ler anonimliği korumak ve coğrafi kısıtlamaları aşmak için kullanılıyor. Bu sayede, Türkiye'deki bir kuruluş, 'normal' trafikle benzerlik gösteren Türk proxy'leri kullanılarak saldırıya uğrayabilir, bu da siber suçla mücadeleyi zorlaştırıyor." uyarısı yapılıyordu.
Geçtiğimiz yıl, bir güvenlik firması araştırmacılarının ProxyLib adında bir botnetin bu tür bir proxy ağıyla bağlantılı olduğuna dair kanıtlar bulduğu belirtildi. Kanıtlar arasında, botnet tarafından enfekte edilmiş IP adresleri ve port numaralarının proxy listesi uç noktasına iletilmesi ve enfekte bir test cihazından çıkan trafiklerin proxy ağına yönlendirilmesi yer alıyordu. Google Play'de bulunan bazı uygulamaların, kullanıcıların izni olmadan milyonlarca cihazı bu tür bir proxy ağına dahil ettiği ortaya çıktı.
Söz konusu proxy hizmeti sağlayıcısına gönderilen sorular yanıtsız kaldı.
Çökertilen botnet tarafından kontrol edilen 17 milyon cihazın nasıl bu duruma geldiği henüz tam olarak aydınlatılamadı. Bazı durumlarda, bu tür cihazlar yazılım güvenlik açıklarının istismar edilmesi veya kötü amaçlı uygulamaların yüklenmesi yoluyla enfekte oluyor. Bazı uygulamalar bu durumu küçük veya gizlenmiş metinlerle açıklarken, diğerleri proxy düzenlemesini açıkça belirtiyor.
Kullanıcıların cihazlarının botnetlere dahil olmasını önlemek için güvenlik güncellemelerini zamanında yüklemeleri ve artık desteklenmeyen yazılım veya cihazları kullanmaktan kaçınmaları tavsiye ediliyor. Ayrıca, uygulamalar yüklenmeden önce dikkatlice araştırılmalı ve yalnızca gerçek fayda sağladıklarında kullanılmalıdır. Kullanılmayan uygulamalar ise kaldırılmalıdır.
