Uluslararası İşbirliğiyle Botnet Operasyonu
Uluslararası bir yasal uygulama, siber suçlulara router dahil olmak üzere, hacklenmiş internet bağlantılı cihazlar sunan iki hizmeti kapattı. ABD’li savcılar ayrıca bu cihazlara sızarak botneti yöneten dört kişinin iddia edildiğini açıkladı.
FBI’nın Operasyonu “Operation Moonlander”
Çarşamba günü, Anyproxy ve 5Socks web siteleri, FBI tarafından yapılan bir yasal operasyona ait bildirilerle değiştirildi. “Operation Moonlander” adı verilen bu operasyon, FBI, Hollanda Ulusal Polisi (Politie), Kuzey Oklahoma Bölge Savcılığı ve ABD Adalet Bakanlığı tarafından gerçekleştirildi.
Botnet’in Dismantling’i ve İddialar
Cuma günü, ABD’li savcılar, botnetin dismantling edilmesini ve üç Rus’un Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov, Alexandr Aleksandrovich Shishkin ve bir Kazak Dmitriy Rubtsov olarak belirtilen kişilerin indictment edildiğini duyurdu. Bu dört kişi, Anyproxy ve 5Socks’un, meşru proxy hizmetleri sunduğu iddiasıyla kâr sağladıkları gerekçesiyle suçlanıyor. Ancak bu hizmetlerin, hacklenmiş router’lar üzerine kurulu olduğu belirtiliyor.
Chertkov, Morozov, Rubtsov ve Shishkin, ABD dışında yaşayan kişilerdir ve bilinen zayıflıkları olan eski model kablosuz internet router’larını hedef alarak “binlerce” cihazı etkisiz hale getirdikleri ifade edilmiştir açıklanan iddianameye göre.
Botnet’in Çalışma Şekli ve Kullanım Amaçları
Bu kişiler, kontrol ettikleri router’lar üzerinden Anyproxy ve 5Socks üzerinden botnete erişim sattılar. İddialara göre, bu hizmetler 2004 yılından beri aktifti. Residential proxy ağları kendiliğinden yasadışı değildir; bu tür hizmetler genellikle müşterilerin jeo-kısıtlı içeriklere erişim sağlaması veya hükümet sansürünü aşması için kullanılır. Ancak, Anyproxy ve 5Socks’un, internet bağlantılı cihazları enfekte ederek proxy ağı oluşturduğu iddia edilmektedir.
Adalet Bakanlığı’nın açıklamasına göre, “Botnet’in abonelerinin internet trafiği, aslında kullandıkları cihazların IP adresleri yerine, ele geçirilen cihazlara atanan IP adreslerinden geliyormuş gibi görünüyordu,” ifadesi yer almaktadır.
Dört şahsın, botnete erişim satarak 46 milyon dolardan fazla kâr elde ettiklerine inanılıyor.
Siber Güvenlik Uzmanlarının Açıklamaları
Black Lotus Labs araştırmacısı Ryan English, Anyproxy ve 5Socks’un bazı kötüye kullanım türleri için kullanıldığını belirtmektedir, şifre tahminleri, dağıtılmış güvenlik engeli saldırıları (DDoS) ve reklam dolandırıcılığı gibi. Ayrıca, Cuma günü Black Lotus Labs, bu proxy ağlarını takip etme konusunda yetkililere yardımcı olduğunu bildirdi. Botnetin, online kötü niyetli aktörler için anonimlik sağlamak amacıyla tasarlandığı vurgulanmaktadır.
English ayrıca, “Anyproxy ve 5Socks’un aynı operatörler tarafından işletilen aynı proxy havuzu olduğunu düşünüyoruz,” dedi. Botnet’in itibarı arttıkça, daha fazla zararlı etkinlikte kullanıldığı bildirilmiştir.
Bu botnet, 80’den fazla ülkede ortalama 1,000 haftalık aktif proxy ile çalıştığı bildirilmiştir. Proxy hizmetlerini izleyen Spur firması da operasyona dahil olmuştur. Spur’un kurucu ortağı Riley Kilmer, 5Socks’un takip ettikleri daha küçük bir suç ağı olmasına rağmen, finansal dolandırıcılık için popülaritesinin arttığını belirtti.
Bu hikaye, FBI’ın yorumuna yer vermek için güncellenmiştir.
