NetNut Ağının Tehditleri ve Önlemler
Google, dünya genelindeki ev cihazlarını kiralık birer trafik yönlendiricisi haline getiren en büyük ağlardan biri olan NetNut ağını önemli ölçüde zayıflattığını duyurdu. FBI ve diğer kuruluşlarla iş birliği içinde gerçekleştirilen bu operasyon, ağın kullanılabilir cihaz havuzunu milyonlarca cihaz azaltmayı başardı.
Saldırı Nasıl Çalışıyor?
Bir konut proxy ağı, gerçek ev internet adreslerine erişim satmaktadir. Saldırganlar, kendi trafiğini ev internet bağlantınız üzerinden yönlendirmek için ödeme yaparlar; bu sayede güvenlik araçlarının çoğunlukla engellediği veri merkezi trafiği yerine sıradan ev tarayıcısı gibi görünürler. Bu tür bir havuz oluşturmak için operatörlerin kodunun ev cihazlarında çalışması gerekir. Bazı cihazlar, ucuz marka donanımında önceden yüklenmiş olarak gelirken; diğerleri, kullanıcıların gizlemeye yarayan ücretsiz uygulamalar yüklemesiyle bu kodu alır. Kodu çalıştıktan sonra, cihaz “çıkış düğümü” haline gelir ve diğer insanların trafiğinin aktığı bir kapı işlevi görür.
Google, bir çıkış düğümünün dışarıdan gelen trafiği ev ağına taşıdığını ve bunun sonucunda saldırganların ağa bağlı diğer cihazlara ulaşma imkanı bulduğunu belirtmektedir. Bu tür ev cihazları, Mirai ve Badbox 2.0 gibi büyük botnet’lerin parçası haline de gelebilmektedir.
Geçtiğimiz Haziran ayının bir haftasında GTIG, şüpheli NetNut çıkış düğümlerini kullanan 316 farklı tehdit kümesi tespit etti. Bu gruplar, gerçek konumlarını gizlemek ve parola deneme saldırıları gerçekleştirmek için bu çıkış düğümlerini kullanmaktadır.
Etkilenen Sistemler
NetNut, öncelikle ev cihazları üzerinden yayılan bir ağdır. Bu cihazlar şunları içermektedir:
- Akıllı TV’ler
- Stream kutuları
- Diğer internet bağlantılı cihazlar
NetNut, dünya genelinde en az 2 milyon cihaza sahip ve bu cihazlardan biri evinizdeyse, başkalarının trafiğini sizin internet bağlantınız üzerinden yönlendirebilirler. Bu durumda, sizin adresiniz suçlamalarla karşı karşıya kalabilir.
Çözüm ve Korunma
NetNut, halka açık bir şirketin sahibi olduğu bir proxy sağlayıcısıdır. Alarum Technologies (NASDAQ: ALAR) tarafından işletilmektedir. Araştırmacılar, NetNut’un hizmetlerine erişen trafiklerin, Popa adı verilen bir botnet aracılığıyla yönlendirildiğini tespit etmiştir. Ancak Alarum, kendisini bir “botnet” olarak nitelendiren etiketleri reddetmekte ve bu iddiaları yanlış ve kanıtlanmamış olarak tanımlamaktadır.
Buna rağmen, bu tür ağları durdurmak zor bir süreçtir. Google, bir takedown işlemine rağmen ağların çoğunun araştırmalara rağmen direncini gösterdiğini belirtmektedir.
Tüketiciler için en belirgin uyarı işareti, size “gerekmediğiniz bant genişliği için ödeme yapmayı” veya “internetinizi paylaşmayı” teklif eden bir uygulama olacaktır. Bu tür uygulamalar, bu tür bu ağların büyümesinin en büyük yollarından biridir.
Genel olarak şunları yapmanızı öneriyorum:
- Resmi uygulama mağazalarını kullanın ve bir VPN veya proxy uygulamasının hangi izinleri istediğini kontrol edin.
- Google Play Protect gibi yerleşik koruma özelliklerini aktif tutun.
- Smart TV ve streaming kutularını tanınmış üreticilerden satın alın, isimsiz markalardan kaçının.
NetNut’a bağlı trafiğin tekrar ortaya çıkıp çıkmayacağını takip etmek için, yeniden tayin edilen markalar altında izlemeye devam edin. Küresel düzeydeki bu saldırıların etkilerinizi azaltmak için proaktif olun.


