Kanada Federal Mahkemesi, Haziran 2026’da kamuoyuyla paylaşılan kararında, Kanada Güvenlik İstihbarat Servisi’nin (CSIS) ilk kez tehdit azaltma mahkeme emri kapsamında botnet enfeksiyonlarına müdahale ettiğini açıkladı. Mayıs 2024’te onaylanan ve Ağustos’ta yenilenen bu emir, CSIS’e enfekte olmuş cihazlardaki botnet verilerini değiştirme, azaltma ve yok etme yetkisi sağladı; böylece bu cihazlar ağlardan izole edildi.
Hangi Cihazlar ve Sistemler Hedef Alındı?
Operasyonun odağında Kanada’daki sunucular, küçük ofis ve ev ofis (SOHO) yönlendiricileri ile internet bağlantılı IoT cihazları vardı. Bunlar arasında Ring marka kapı zilleri, güvenlik kameraları, televizyonlar ve diğer Wi-Fi destekli ev aletleri bulunuyordu. Hakim Catherine Kane tarafından onaylanan mahkeme emri, kişisel verileri veya kullanıcı kimliklerini hedeflemeden yalnızca cihazları temizlemeye odaklandı.
Botnetlerin İşleyişi ve Tehdit Detayları
İki botnet, klasik komut-relay yapısını kullanıyordu. Komut katmanı talimat verirken, enfekte cihazlar trafiği yönlendiriyordu. Bu sayede yabancı devletler, Kanada’daki ele geçirilmiş cihazlar üzerinden bağlantı kurarak kritik altyapılara, hükümet ve askeri ağlara sızabiliyordu. Mahkeme kararında özellikle enerji sektörü hedefleri işaret edilerek, botnetlerin altyapıya zarar verme potansiyeline dikkat çekildi.
Kanada’nın Yöntemi ve ABD ile Farkı
ABD’de 2023 sonlarında FBI, Volt Typhoon adlı Çin bağlantılı botneti ve Rusya’nın GRU’suna ait APT28 grubunun istihbarat amaçlı kullandığı Ubiquiti yönlendiricilerini mahkeme emriyle temizlemişti. Ancak ABD operasyonları kolluk kuvvetleri tarafından yürütülürken, Kanada’nın yöntemi istihbarat servisi odaklı ve tehdit azaltma yetkisi çerçevesinde gerçekleşti. CSIS’in bu yetkiyi kullanması, 2019’da yürürlüğe giren Ulusal Güvenlik Yasası kapsamında mümkün oldu ve bugüne kadar uygulanmamıştı.
Eski Donanımlar Hâlâ En Büyük Açık
Botnetlerin beslenme kaynağı çoğunlukla güncellenmeyen, ömrünü tamamlamış yönlendiriciler ve fabrika ayarlarıyla internete açık IoT cihazları. Hükümet müdahalesi enfekte zararlıları temizliyor ama cihazların zayıf noktalarını kapatmıyor. ABD’de de benzer şekilde kötü amaçlı yazılım kaldırılırken, cihazların yeniden başlatılması veya fabrika ayarlarına döndürülmesi enfeksiyonun tekrarını mümkün kılıyor. Bu yüzden cihaz sahiplerinin donanımlarını yenilemesi ve güvenlik önlemlerini sıkılaştırması gerekiyor.
Hukuki Tartışmalar ve Veri Toplama Sorunu
Kararda tam olarak açıklığa kavuşmayan bir husus, CSIS’in mahkeme emri olmadan topladığı bazı IP adreslerinin kullanılması. Bu durum, Kanada Yüksek Mahkemesi’nin R. v. Bykovets davasında IP adreslerinin makul bir gizlilik beklentisi taşıdığına hükmetmesinden sonra etik ve hukuki tartışmaları gündeme getirdi. CSIS’in toplama yetkileri ve cihaz sahiplerine bilgilendirme yapılıp yapılmadığı halen net değil.
Teknik Özet: Saldırı Zinciri ve Öneriler
Botnet operasyonları genellikle enfekte cihazlarda yerleşik komut ve kontrol (C2) sunucuları aracılığıyla yönetilir. Bu vakada da cihazlar, yabancı aktörlerin komutlarını ileten ara katman görevi gördü. Hedeflenen sektörler arasında enerji, hükümet ve askeri altyapılar vardı. Teknik savunma için; güncel firmware uygulamaları, güçlü kimlik doğrulama yöntemleri, ağ segmentasyonu ve sürekli izleme (örneğin SIEM ve EDR çözümleri) kritik önem taşıyor.
Sistem Yöneticileri için Öneriler
- Eski ve desteklenmeyen yönlendiricileri mümkün olan en kısa sürede değiştirin.
- IoT cihazlarının varsayılan şifrelerini mutlaka değiştirin.
- Firmware güncellemelerini düzenli ve zamanında yapın.
- Ağ trafiğini segmentlere ayırarak kritik sistemleri izole edin.
- EDR ve SIEM araçlarıyla anormal davranışları takip edin.
- MFA (Çok faktörlü kimlik doğrulama) uygulamalarını zorunlu kılın.
- Olay müdahale planlarınızı güncel tutun ve tatbikatlar yapın.
Bu gelişmeler, devletlerin kritik altyapılara yönelik siber tehditlerle mücadelede yeni yöntemlere başvurduğunu gösteriyor. Ancak sonuçta cihaz sahiplerinin de sorumluluklarını yerine getirmesi elzem. Aksi takdirde, kötü niyetli aktörler eski zayıflıklardan faydalanmaya devam edecek.