KATEGORİLER
TAKİP ET!

Google, Telefonunuzun İnternetini Gizlice Kullanan Görünmez Ağı Çökertti

google
google

Milyonlarca cihazı fark ettirmeden siber saldırı aracına dönüştüren IPIDEA botnet’i devre dışı kaldı

Google, internetin en karanlık ve en az bilinen altyapılarından birine karşı şimdiye kadarki en büyük operasyonlarından birini gerçekleştirdi. Şirket, IPIDEA adı verilen devasa bir residential proxy ağına ağır bir darbe vurduğunu açıkladı. Bu ağ, milyonlarca Android telefon, bilgisayar ve ev cihazını, kullanıcıların çoğu hiçbir şey fark etmeden, siber suçluların kiralayabildiği bir altyapıya dönüştürüyordu.

Bu gelişme ilk bakışta teknik gibi görünebilir. Ancak işin özü oldukça basit ve rahatsız edici:
Telefonunuzun ya da ev internetinizin, sizin haberiniz olmadan başkalarının saldırı aracı haline gelmesi.

Google’ın müdahalesi sayesinde bu ağın büyük bir bölümü artık çalışmıyor ve yaklaşık 9 milyon Android cihaz bu gizli sömürüden kurtarılmış durumda.

Residential proxy ne demek, neden bu kadar tehlikeli?

Siber güvenlik dünyasında residential proxy ağları, özellikle saldırganlar için altın değerinde. Mantık şu şekilde çalışıyor:

Normalde bir saldırı veri merkezlerinden gelirse, güvenlik sistemleri bunu hızlıca fark edip engelliyor. Ancak saldırı gerçek bir ev interneti bağlantısından gelirse işler değişiyor. Çünkü bu trafik, sıradan bir kullanıcıya aitmiş gibi görünüyor.

IPIDEA tam olarak bunu sağlıyordu.

  • Gerçek ev IP adresleri
  • Gerçek telefonlar ve bilgisayarlar
  • Gerçek kullanıcıların internet bağlantıları

Sonuç olarak saldırılar, çok daha zor tespit edilen ve çok daha geç engellenebilen bir hale geliyordu.

Bu da IPIDEA’yı, siber suç dünyasında son derece cazip bir araç haline getirdi.

IPIDEA cihazlara nasıl sızdı?

En can sıkıcı kısım burada başlıyor. IPIDEA, klasik anlamda bir virüs gibi yayılmıyordu. Bunun yerine yüzlerce mobil uygulamanın içine gizlenmiş yazılım bileşenleri kullanıyordu.

Google’ın Tehdit İstihbarat Grubu’na göre IPIDEA altyapısı şu SDK’lar üzerinden yayılıyordu:

  • PacketSDK
  • EarnSDK
  • HexSDK
  • CastarSDK

Bu SDK’lar, uygulama geliştiricilere “para kazanma” amacıyla sunuluyordu. Geliştiriciler çoğu zaman bu bileşenlerin arka planda kullanıcı cihazını bir proxy çıkış noktası haline getirdiğinden habersizdi. Kullanıcılar ise neredeyse hiçbir zaman açık ve net bir bilgilendirme görmüyordu.

Uygulama yüklendiği anda:

  • Cihaz internete bağlanıyor
  • IPIDEA ağına ekleniyor
  • Başkalarının trafiğini yönlendiren bir “ara durak” haline geliyordu

Kısacası telefonunuz, siz sosyal medyada gezerken, başka bir yerde yapılan saldırının parçası olabiliyordu.

Kimler bu ağı kullandı?

Google’ın paylaştığı veriler, durumun ne kadar ciddi olduğunu net şekilde gösteriyor. Sadece bir haftalık zaman diliminde, IPIDEA ağı:

  • 550’den fazla tehdit grubuna hizmet verdi
  • Gelişmiş siber suç örgütleri tarafından kullanıldı
  • Devlet destekli APT gruplarının da ilgisini çekti

Bu gruplar arasında Çin, Rusya, İran ve Kuzey Kore bağlantılı aktörler yer aldı.

Ağ üzerinden yapılan faaliyetler arasında şunlar öne çıkıyor:

  • Kimlik bilgisi denemeleri
  • Casusluk faaliyetleri
  • DDoS saldırıları
  • Komuta-kontrol sistemlerini gizleme

Tüm bunlar, sıradan insanların ev internetleri üzerinden yürütüldü.

Google nasıl müdahale etti?

Google, IPIDEA’ya karşı hem teknik hem de hukuki adımlar attı. Operasyon tek bir hamleden ibaret değildi. Aksine, çok katmanlı bir müdahale söz konusu.

Atılan adımların öne çıkanları:

  • IPIDEA ile bağlantılı onlarca alan adı kapatıldı
  • Bu alan adları üzerinden SDK ve proxy hizmeti sunan altyapılar devre dışı bırakıldı
  • Google Play Protect güncellendi
  • Zararlı uygulamalar otomatik olarak tespit edilip kaldırıldı
  • Güvenlik şirketleriyle bilgi paylaşıldı

Google, bu süreçte Lumen Black Lotus Labs, Cloudflare ve diğer güvenlik ortaklarıyla koordineli çalıştı. Amaç sadece uygulamaları silmek değil, arka plandaki tüm sistemi çökertmek oldu.

Sonuç ne oldu?

Google’ın verdiği rakamlar oldukça net:

  • Yaklaşık 9 milyon Android cihaz IPIDEA ağından çıkarıldı
  • Yüzlerce zararlı uygulama Play Store’dan kaldırıldı
  • Kötüye kullanılabilir cihaz havuzu milyonlarca azaldı

Google, ağın tamamen yok olmadığını açıkça kabul ediyor. Ancak mevcut durumda IPIDEA operatörlerinin yeniden ölçeklenmesi ve aynı hızda büyümesi çok daha zor hale geldi.

Bu da kısa vadede siber suçlar için ciddi bir darbe anlamına geliyor.

Kullanıcılar için bu ne anlama geliyor?

Bu operasyonun en önemli mesajı şu:
Telefonunuza yüklediğiniz masum görünen uygulamalar bile risk taşıyabilir.

IPIDEA örneği, klasik virüs anlayışının çok ötesinde bir tehdit modelini gösteriyor. Burada amaç:

  • Veri çalmak değil
  • Reklam göstermek değil
  • Cihazı sessizce kiralamak

Bu yüzden Google, özellikle şu konulara dikkat edilmesini öneriyor:

  • Gereksiz uygulamaları yüklememek
  • Play Store dışındaki kaynaklardan APK indirmemek
  • Uygulama izinlerini düzenli kontrol etmek
  • Play Protect gibi güvenlik katmanlarını kapatmamak

Büyük resim: İnternetin görünmeyen altyapıları

IPIDEA vakası, internetin nasıl görünmez şekilde sömürülebileceğini gösteren en çarpıcı örneklerden biri. Saldırı artık tek bir bilgisayardan gelmiyor. Milyonlarca masum cihaz, farkında olmadan bu zincirin bir halkası haline geliyor.

Google’ın hamlesi, bu tür altyapıların dokunulmaz olmadığını gösteriyor. Ancak aynı zamanda şunu da hatırlatıyor:
Bu ağlar var ve yenileri kurulmaya devam edecek.

Dolayısıyla kullanıcı farkındalığı ve platformların hızlı müdahalesi, önümüzdeki dönemde her zamankinden daha kritik hale geliyor.

Etiketler

Bakmadan Geçmeyin

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Technostory, teknoloji dünyasındaki güncel gelişmeleri, ürün lansmanlarını ve dijital trendleri sade, güvenilir ve anlaşılır bir dille sunan bağımsız bir teknoloji yayın platformudur.