Hollanda yetkilileri, milyonlarca cihazı ele geçiren büyük bir botnetin çökertildiğini açıkladı. Bu durum, siber güvenlik alanında ciddi bir tehdit oluşturan botnetlerin etkisini bir kez daha gözler önüne seriyor.

Saldırı Nasıl Çalışıyor?

Hollanda Polisi ve Ulusal Siber Güvenlik Merkezi (NCSC) tarafından yapılan açıklamaya göre, bu botnetin en az  17 milyon  enfekte cihazdan oluştuğu bildirilmektedir. Enfekte olan cihazlar arasında bilgisayarlar, tabletler, akıllı telefonlar ve IoT cihazları yer almaktadır. Botnet, Hollanda’da bulunan 200’den fazla sunucu üzerinden faaliyet göstermekteydi.

Yerel basında çıkan haberlere göre, botnetin adı kesin olarak belirtilmese de, Asocks adlı bir şirketin bu operasyonla bağlantılı olduğu ifade edilmiştir. Bu şirket, proxy hizmetleri sunmaktadır ve NCSC, Asocks’a ait sunuculardan bir kısmının yasadışı kullanımlar nedeniyle el konulduğunu bildirmiştir.

Etkilenen Sistemler

Botnetin etkilediği cihazlar genel olarak şunlardır:

• Bilgisayarlar
• Tabletler
• Akıllı telefonlar
• IoT cihazları

Bu sistemler, kötü niyetli aktörler tarafından kontrolableilmekte ve siber suç faaliyetlerinde kullanılabilmektedir.

Çözüm ve Korunma

NCSC, botnet yazılımlarının oluşturduğu tehditlere karşı aşağıdaki korunma yöntemlerini önermektedir:

• İşletim sistemlerini güncel tutmak
• Router gibi kenar cihazlarının izlenebilirliğini sağlamak
• Güçlü şifreler kullanmak
• Mümkün olan her yerde iki faktörlü kimlik doğrulamasını etkinleştirmek
• Uygulamaları yalnızca güvenilir kaynaklardan indirmek
• Varsayılan şifreleri değiştirmek
• Wi-Fi ağlarını WPA2 veya WPA3 ile güvence altına almak

Bu önlemler, cihazların kötü niyetli aktörler tarafından ele geçirilmesini engellemekte kritik bir rol oynamaktadır.

Sonuç

Siber güvenlikte proaktif olmak, botnetlere ve diğer tehditlere karşı en etkili savunma yöntemidir. Cihazlarınızı güncelleyerek, varsayılan şifrelerinizi değiştirerek ve güçlü güvenlik önlemleri alarak, bu tür tehditlerden korunabilirsiniz. Aynı zamanda, ağınıza bağlı tüm cihazlar için güvenlik ayarlarını gözden geçirmenizi öneriyoruz.

CrowdStrike, Google ve internet kazalarını tarayıp izleyen kar amacı gütmeyen Shadowserver ile iş birliği yaparak, siber suçluların açık kaynak yazılım geliştiricilerinden kötü amaçlı yazılım yaymak ve şifre çalmak için kullandığı bir botnet’i etkisiz hale getirdi.

Bu etkisiz hâle getirme operasyonu, CrowdStrike’a göre, “Glassworm” adlı botnet’in arkasındaki siber suçluların faaliyetlerini kesmek amacı taşımaktaydı. Bu botnet, iki yıldır açık kaynak yazılım tedarik zincirini hedef alıyordu.

Son aylarda, birçok hack grubu geliştiricilere ve açık kaynak projelere yönelik saldırılar düzenleyerek şirketlere ve organizasyonlara kötü amaçlı yazılım yollamayı amaçladı. Bu saldırılar, şirketlerin GitHub gibi platformlarda barındırılan kodlara ve bu kodların arkasındaki çalışanlara olan güvenini sömürdüğü için etkili olabiliyor.

CrowdStrike, etkisiz hale getirme operasyonu hakkında yaptığı raporda, “Düşmanlar artık sadece ürünleri hedef almıyor, bunları oluşturan geliştiricileri de hedef alıyor.” şeklinde belirtti. “Geliştiriciler, son derece değerli hedeflerdir: tek bir geliştiricinin iş istasyonunu ele geçirmek, binlerce alt organizasyonu ve kullanıcıyı etkileyen bir tedarik zinciri ihlaline yol açabilir.”

Glassworm hackerları kötü amaçlı kodlarını yaymak için çeşitli stratejiler kullandı. Bunlar arasında geliştiricilerin kullandığı bir pazarda kötü amaçlı uzantılar yayımlamak; kurbanların kötü amaçlı yazılım indirmelerine neden olan sponsorlu arama sonuçları için ödeme yapmak (malvertising); ve daha önceki saldırılarda çalınan kimlik bilgilerini kullanarak geliştirici hesaplarını ele geçirmek ve kodlarına kötü amaçlı yazılım yerleştirmek yer aldı.

Sonuç olarak, hackerlar CrowdStrike’ın ifadesine göre, 300’den fazla GitHub kod deposunu zehirlemiş oldu.

CrowdStrike, Glassworm hackerlarının kullandığı dört komut ve kontrol kanalını etkisiz hale getirerek, hackerların enfekte olmuş bilgisayarlara erişimini kesti ve daha fazla kötü amaçlı yazılım dağıtmalarını durdurdu.

Komut ve kontrol sunucularının Solana blockchain’i, BitTorrent peer-to-peer ağı, Google Takvim ve sanal özel sunucular üzerine kurulu olduğu belirtildi.

CrowdStrike ve diğerlerinin operasyonu etkisiz hale getirmek için hangi yasal veya teknik otoriteyi kullandığı net değil. CrowdStrike’dan bir sözcü ise hemen yorumda bulunmadı.

Geçen hafta, hackerlar, “Mini Shai-Hulud” adı verilen farklı bir hack kampanyasında kötü amaçlı güncellemeler yayımlayan birkaç açık kaynak projesini ele geçirdi. Bu hacker grubu bir OpenAI geliştiricisini de etkiledi. Mart ayında başka bir tedarik zinciri saldırısında, Kuzey Koreli olduğu düşünülen bir hacker, milyonlarca geliştirici tarafından kullanılan popüler açık kaynak yazılım geliştirme aracı Axios’u ele geçirdi.

Makalerimizdeki bağlantılar üzerinden alışveriş yaptığınızda, küçük bir komisyon kazanabiliriz. Bu, editoryal bağımsızlığımızı etkilemez.

Nov 15, 2025Ravie LakshmananMalware / Vulnerability

RondoDox Botnet ve XWiki Güvenlik Açığı

XWiki sunucularını hedef alan RondoDox adlı botnet malware, son günlerde siber güvenlik gündeminin en önemli maddelerinden birini oluşturuyor. Özellikle güncellenmemiş XWiki versiyonlarındaki CVE-2025-24893 kodlu kritik güvenlik açığı, siber suçlular tarafından istismar ediliyor. Bu açık, kullanıcıların izni olmadan uzak kod çalıştırmalarına olanak tanıyor.

CVE-2025-24893 Açığı Nedir?

CVE-2025-24893, 9.8 gibi yüksek bir CVSS puanına sahip bir eval injection hatasıdır. Bu güvenlik açığı, herhangi bir misafir kullanıcının “/bin/get/Main/SolrSearch” endpoint’ine bir istek göndererek uzaktan kod çalıştırmasına izin vermektedir. XWiki geliştiricileri bu açığı, 2025 yılının Şubat ayında XWiki 15.10.11, 16.4.1 ve 16.5.0-RC1 sürümlerinde kapatmışlardır. Ancak, birçok sunucu hala bu güncellemeleri uygulamadığı için saldırganlar için bir fırsat sunmaktadır.

Saldırılar ve İlk Gözlemler

VulnCheck, bu açığın Mart 2025’tan beri istismar edildiğine dair veriler topladığını belirtmektedir. Ancak, Ekim ayının sonlarına doğru açığın iki aşamalı bir saldırı zinciri ile kullanılan bir kripto para madencisi olarak yeniden silahlandırıldığını açıkladı. Bu tür saldırılar, genellikle siber güvenlik tehditleri arasında hızla yayılan bir virüs gibi etki gösteriyor.

Aynı zamanda, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açığı “Bilinen İstismar Edilen Güvenlik Açıkları” (KEV) kataloguna ekleyerek, federal kuruluşların gerekli önlemleri 20 Kasım’a kadar almalarını zorunlu kılmıştır. Bu durum, güvenlik açığının ciddiyetini daha da pekiştirmektedir.

RondoDox’un Faaliyetleri

RondoDox, bir botnet olarak, yeni sömürü yolları ekleyerek daha fazla cihaza yayılma çabası içerisine girmiştir. Bu botnet, HTTP, UDP ve TCP protokolleri kullanarak dağıtık hizmet reddi (DDoS) saldırıları gerçekleştirmek üzere zayıf cihazları hedef alıyor. RondoDox’un ilk exploiti 3 Kasım 2025 tarihinde gözlemlenmiştir.

Ayrıca, bu güvenlik açığının istismar edilmesiyle ilgili diğer saldırılar arasında kripto para madencileri, ters kablo bağlantısı sağlama girişimleri ve genel tarama faaliyetleri yer almaktadır. Bu tür faaliyetlerin artması, daha geniş bir saldırı ağı ve birçok tehdit aktörünün devrede olduğunu göstermektedir.

Patching Yöntemleri ve Önemi

Yapılan gözlemler, etkin bir patch yönetimi uygulamanın gerekliliğini bir kez daha ortaya koymaktadır. Güvenlik güncellemelerinin ihmal edilmesi, kullanıcıları son derece tehlikeli duruma sokmaktadır. VulnCheck’in Jacob Baines’in de belirttiği gibi, “CVE-2025-24893 tanıdık bir hikaye: bir saldırgan ilk adımı atar ve çok sayıda takipçi gelir.” Bu nedenle, güvenlik açıklarını kapatmak için zamanında güncellemeler yapmak son derece önemlidir.

Sonuç olarak, siber güvenlik alanında gelişmeler her zaman takip edilmeli ve gerekli önlemler alınmalıdır. Zayıf noktaların tespit edilmesi ve giderilmesi, hem bireysel hem de kurumsal düzeyde güvenliği artıracaktır.

Güncel Siber Güvenlik Haberleri – 1

Operasyon Endgame: Kötü Amaçlı Yazılımlar Hedef Alındı

Dünya genelinde siber suçlarla mücadelede büyük bir adım atıldı. Europol ve Eurojust’un öncülüğünde gerçekleştirilen Operasyon Endgame, Rhadamanthys, Venom RAT ve Elysium botnetleri gibi kötü amaçlı yazılım ailelerinin çökertilmesiyle sonuçlanmıştır. Bu operasyon, 10-13 Kasım 2025 tarihleri arasında gerçekleştirilmiş olup, suç örgütlerinin alt yapısını çökertmeyi ve fidye yazılımlarını engellemeyi amaçlamaktadır.

Büyük Çöküş: Rhadamanthys ve Venom RAT

Operasyonun en dikkat çekici başarılarından biri, Rhadamanthys Stealer ve Venom RAT gibi büyük çaplı kötü amaçlı yazılımlarının etkisiz hale getirilmesidir. Yapılan açıklamalara göre 1,025’ten fazla sunucu devre dışı bırakılmış ve 20 adet alan adı ele geçirilmiştir. Ayrıca, Venom RAT’ın ana şüphelisi Yunanistan’da 3 Kasım’da tutuklanmıştır. Bu durum, siber suçlarla mücadelede bir dönüm noktası kabul edilmektedir.

Kapsamlı Zararın Arka Planı

Europol’un deklare ettiği verilere göre, çökertilen kötü amaçlı yazılım altyapısı, yüz binlerce enfekte bilgisayarda birkaç milyon çalınmış kimlik bilgisi içermektedir. Birçok kurban, sistemlerinin enfekte olduğunu dahi fark etmemiştir. Bu durum, yaygın bir siber tehditin varlığını göstermektedir.

Elysium Botneti Üzerine Belirsizlik

Operasyonda yer alan Elysium botnetinin, Rhadamanthys ile bağlantılı olan proxy hizmeti RHAD güvenliğinin bir ürünü olup olmadığı henüz netlik kazanamamıştır. Ancak, Elysium’un tespiti, siber güvenlik dünyasında önemli bir merak uyandırmaktadır.

Kripto Para Tehditleri

Operasyon sırasında tutuklanan ana şüphelinin, 100,000’den fazla kurbanına ait kripto para cüzdanlarına erişimi olduğu belirtilmiştir. Bu durum, Avrupa genelinde siber suçların yaygınlığını ve potansiyel zararını gözler önüne sermektedir. Kurbanların maruz kaldığı maddi kayıpların milyonlarca euroya ulaşabileceği tahmin edilmektedir.

Uluslararası İşbirliği ve Katılımcı Ülkeler

Operasyon Endgame’e, Avustralya, Kanada, Danimarka, Fransa, Almanya, Yunanistan, Litvanya, Hollanda ve ABD gibi birçok ülkenin kolluk kuvvetleri katılmıştır. Bu uluslararası işbirliği, siber suçlarla mücadelede daha etkili stratejilerin geliştirilmesi açısından önemlidir.

Gelecek İçin Dersler

Rhadamanthys’in en son sürümü, cihaz ve web tarayıcı parmak izlerini toplamak gibi yeni özellikler eklemiştir. Bu özellikler, kötü niyetli yazılımların tespit edilmesini zorlaştırmaktadır. Dolayısıyla, kullanıcıların siber güvenlik konusunda daha bilinçli olmaları ve güncel yazılımlarla korunmaları büyük önem taşımaktadır.

Sonuç olarak, Operasyon Endgame, siber suçlarla mücadelede atılan önemli bir adım olarak kaydedilmiştir. Ancak, bu tür tehditlerin sürekli evrildiği göz önünde bulundurulduğunda, bireylerin ve kurumların sürekli dikkatli olmaları şarttır. Bu alandaki gelişmeleri takip etmek ve gerekli önlemleri almak, hem bireysel hem de toplumsal güvenliğin sağlanması için kritik öneme sahiptir.

Güncel Siber Güvenlik Haberleri – 1