Google, IPIDEA isimli ve dünyanın en büyük yerleşik proxy ağlarından biri olarak tanımlanan altyapıyı çökertmek için kapsamlı bir operasyon yürüttü. Bu ağ, ele geçirilmiş tüketici cihazlarını proxy uç noktalarına dönüştürerek, siber suçlulara görünmezlik ve geniş çaplı saldırı imkanı sağlıyordu. Operasyon kapsamında, IPIDEA’nın kontrol ettiği onlarca alan adı kapatıldı ve yasal süreçler başlatıldı.
Saldırının Genel Çerçevesi
IPIDEA, günlük 6,1 milyon güncellenen IP adresi ve 69.000 yeni IP adresi sunan bir proxy sağlayıcısı olarak faaliyet gösteriyordu. Yerleşik proxy ağları, saldırganların trafiği ev internet bağlantıları üzerinden yönlendirmesine olanak tanıyarak, kurumsal ağlara sızarken izlerini gizlemelerine yardımcı olur. Google Tehdit İstihbarat Grubu (GTIG) tarafından yapılan analizlerde, IPIDEA’nın Çin, Kuzey Kore, İran ve Rusya gibi ülkelerden 550’den fazla tehdit grubu tarafından kullanıldığı tespit edildi. Bu gruplar, SaaS ortamlarına erişim sağlama, parola deneme saldırıları ve gelişmiş kalıcı tehdit (APT) operasyonları yürütmekteydi.
Saldırı Zinciri ve Teknik Detaylar
IPIDEA’nın proxy ağı, enfekte cihazlarda çalışan özel SDK’lar (Castar, Earn, Hex, Packet SDK) aracılığıyla yönetiliyordu. Bu SDK’lar, uygulamalara gömülerek cihazları proxy düğümlerine dönüştürüyordu. Komut ve kontrol (C2) altyapısı iki katmandan oluşuyordu: enfekte cihazlar önce birinci katman sunuculara bağlanıyor, ardından ikinci katman düğümlerinden proxy üzerinden iletilecek komutları alıyordu. Yaklaşık 7.400 ikinci katman sunucusu tespit edildi. Ayrıca, IPIDEA’nın desteklediği VPN servisleri (Galleon VPN, Radish VPN) de proxy ağına çıkış noktası olarak kullanılıyordu.
Enfekte cihazlar genellikle markasız Android TV kutuları ve trojanlı Windows uygulamaları gibi zararlı yazılımlar içeriyordu. Bu cihazlar, DDoS saldırılarına katılım ve kötü amaçlı trafik yönlendirme gibi tehditler oluşturuyordu. Ayrıca, bazı kullanıcılar boşta kalan bant genişliklerini para kazanma vaadiyle bilinçli olarak bu yazılımları yükleyebiliyordu.
Siber Güvenlik Ekipleri İçin Öneriler
- Proxy ve VPN trafiğini izlemek için SIEM sistemlerinde özel log kuralları oluşturun.
- EDR çözümleri ile cihazlarda şüpheli SDK ve proxy yazılımlarını tespit edin.
- Uygulama izinlerini ve ağ bağlantılarını düzenli olarak denetleyin.
- Güvenilmeyen kaynaklardan gelen uygulamaların yüklenmesini engellemek için IAM politikaları uygulayın.
- Ağ segmentasyonu ile kritik altyapıyı yerleşik proxy trafiğinden izole edin.
- Phishing ve sosyal mühendislik saldırılarına karşı kullanıcı eğitimleri düzenleyin.
- Zero Trust prensipleriyle cihazların ve uygulamaların davranışlarını sürekli izleyin.
- Olay müdahale planlarını, proxy tabanlı saldırı senaryolarını da kapsayacak şekilde güncelleyin.
Kurumsal Ortamlarda Olası Senaryolar
Örneğin, bir finans kurumunda IPIDEA benzeri yerleşik proxy ağı kullanılarak gerçekleştirilen bir saldırıda, saldırganlar kurumun SaaS uygulamalarına erişim sağlamak için proxy trafiğini kullanabilir. Bu durum, parola deneme saldırıları ve veri sızıntılarına yol açabilir. Bu nedenle, kurumların ağ segmentasyonu ve çok faktörlü kimlik doğrulama (MFA) uygulamaları kritik öneme sahiptir.
Alınabilecek Önlemler
Google Play Protect gibi platform bazlı güvenlik çözümleri, IPIDEA kodu içeren uygulamaları tespit edip kaldırmak için güncellendi. Ayrıca, yazılım geliştiricilerin SDK entegrasyonlarını dikkatle incelemesi ve bilinmeyen kaynaklardan gelen SDK’ları kullanmaktan kaçınması önerilir. Kuruluşların, proxy tabanlı kötü amaçlı faaliyetleri engellemek için kapsamlı ağ izleme ve tehdit avcılığı süreçlerini uygulaması gerekmektedir.