İnternetten aldığınız o çok uygun fiyatlı Android TV box veya şık dijital fotoğraf çerçevesi, aslında göründüğü kadar masum olmayabilir. “Ücretsiz içerik” izleme vaadi veya “ucuz teknoloji” cazibesiyle evinize giren bu cihazlar, kutusundan çıktığı anda dijital bir kabusun kapılarını aralıyor. Bugün, BadBox 2.0 ve Kimwolf gibi devasa botnet operasyonları, dünya genelinde 10 milyondan fazla cihazı siber suç ekosisteminin sessiz birer askerine dönüştürmüş durumda.
Bir siber güvenlik analisti olarak sizi uyarmalıyım: Bu tehdit sadece ev kullanıcılarını değil, kurumları da hedef alıyor. Yapılan araştırmalar, kurumsal ve kamu ağlarının %25’inde (her dört ağdan biri) en az bir cihazın bu botnetler tarafından “çıkış noktası” (proxy node) olarak kullanıldığını gösteriyor.
Cihazınız Daha Kutusu Açılmadan “Zehirli” Olabilir
BadBox 2.0, siber güvenlik literatüründe “tedarik zinciri saldırısı” (supply chain compromise) olarak bilinen yöntemin en uç örneğidir. Bu cihazlar, çoğunlukla Çin merkezli “isimsiz” üreticiler tarafından, henüz fabrikadan çıkmadan kötü amaçlı yazılımlarla donatılıyor. Google Play Protect sertifikasına sahip olmayan bu AOSP (Android Open Source Project) tabanlı cihazlar, hiçbir güvenlik filtresinden geçmeden son kullanıcıya ulaşıyor.
Kullanıcı cihazı kurup internete bağladığı anda, yazılım otomatik olarak bir Komuta ve Kontrol (C2) sunucusuna bağlanıyor. Bu noktada kullanıcı hiçbir hata yapmamış, hiçbir şüpheli linke tıklamamış olsa dahi cihaz çoktan “zehirlenmiş” oluyor.
“BadBox 2.0, düşük maliyetli Android tabletler, TV kutuları ve dijital fotoğraf çerçeveleri gibi tüketici cihazlarının üretim aşamasında enfekte edilmesini içeren devasa bir operasyondur. Bu cihazlar, Google’ın güvenlik korumalarından yoksun, uncertified (sertifikasız) donanımlardır.”
Fabrika Ayarlarına Dönmek Neden Çözüm Değil? BB2DOOR ve XXTEA
BadBox 2.0 operasyonunun kalbinde BB2DOOR adlı gelişmiş bir arka kapı (backdoor) yatıyor. Bu malware’i sıradan virüslerden ayıran en önemli özellik, cihazın salt okunur (read-only) sistem imajına, yani ürün yazılımına (firmware) gömülmüş olmasıdır.
Analizlerimizde, BB2DOOR’un ikinci aşama yüklerini (payload) gizlemek için mobil dünyada nadir görülen XXTEA blok şifreleme algoritmasını kullandığını gördük. Bu teknik karmaşıklık, yazılımın tespit edilmesini ve tersine mühendislik süreçlerini ciddi şekilde zorlaştırıyor.
Kalıcılığın Temel Nedenleri:
• Sistem İmajına Gömülme: Yazılım sistem dosyalarının bir parçasıdır; kullanıcı “fabrika ayarlarına sıfırla” dese bile, enfekte olmuş orijinal dosyalara geri döner.
• Ayrıcalıklı Sertifikalar: Malware, sistem düzeyinde yetkilere sahip sertifikalarla imzalandığı için silinmesi imkansız hale gelir.
• Modüler Yapı: C2 sunucusundan sürekli yeni ve farklı amaçlı (reklam dolandırıcılığı, proxy vb.) modüller indirebilir.
Ev Ağınızdaki “Şeytani” Geçit: Kimwolf ve DNS Manipülasyonu
Kimwolf botneti, BadBox’ın ulaştığı noktayı çok daha tehlikeli bir boyuta taşıyor. Kimwolf’un yayılma stratejisi, kelimenin tam anlamıyla “diabolical” (şeytani) olarak tanımlanıyor. Bu malware, sadece bulaştığı TV kutusunda kalmakla yetinmiyor; yerel ağınızdaki (LAN) diğer cihazlara sızmak için bir köprü vazifesi görüyor.
Kimwolf, çoğu ucuz cihazda üretim aşamasında açık bırakılan ADB (Android Debug Bridge) portunu (Port 5555) kullanır. Ancak asıl zeka dolu hamlesi, proxy kısıtlamalarını aşmak için RFC-1918 protokolünü istismar etmesidir. Kimwolf, DNS kayıtlarını manipüle ederek doğrudan iç IP adreslerine (192.168.x.x veya 10.x.x.x gibi) yönlendirme yapar. Bu sayede, internetten gelen bir saldırgan, TV kutunuz üzerinden evinizdeki dizüstü bilgisayara veya güvenlik kamerasına, sanki ağın içindeymiş gibi erişebilir.
Dünyanın En Büyük Proxy Ağının Parçası Olmak: IpMoYu ve ByteConnect
Siber suçlular bu cihazları neden bu kadar çok istiyor? Cevap basit: Para. Enfekte olan her cihaz, IPIDEA (veya bağlı markası IpMoYu) gibi devasa “residential proxy” (konut tipi vekil sunucu) ağlarının birer parçası haline getiriliyor.
Suçlular, sizin “temiz” ev IP’nizi, diğer siber saldırganlara kiralıyor. Bu süreçte ByteConnect SDK (piyasada Plainproxies olarak bilinir) gibi araçlar kullanılır. Bu ekonomi o kadar büyüktür ki, sadece 10 bin aktif kullanıcıya sahip bir ağın operatörüne aylık yaklaşık 490 dolar pasif gelir sağlayabilir. Kimwolf’un 2 milyon aktif IP’ye ulaştığı düşünüldüğünde, dönen paranın ölçeği dudak uçurtmaktadır.
Altyapının Mimarisi:
• İki Katmanlı Yapı: Operasyon, teşhis verilerini toplayan Tier 1 (C2 alan adları) ve asıl proxy trafiğini yöneten yaklaşık 7.400 sunuculuk Tier 2 katmanından oluşur.
• Blockchain Direnci: Kolluk kuvvetlerinin takibinden kaçmak için ENS (Ethereum Name Service) gibi merkeziyetsiz blockchain yapıları (örneğin pawsatyou.eth) kullanılmaktadır. Bu, botnetin kapatılmasını neredeyse imkansız hale getirir.
1.7 Milyar Komut: Botnetlerin “Gözü Dönmüş” Saldırıları
Kasım 2025’te Kimwolf, siber güvenlik dünyasını şaşkına çeviren bir “gövde gösterisi” yaptı. Sadece üç gün içinde, tüm interneti “spreyleyerek” 1.7 milyar DDoS saldırı komutu yayınladı. Bu, o kadar büyük bir trafikti ki, Kimwolf’un kontrol sunucusu bir ara Cloudflare dünya sıralamasında Google.com’u bile geride bıraktı.
Kimwolf ve selefi/varyantı olan Aisuru botneti, birleştiğinde 30 Tbps gibi hayal bile edilemeyecek bir saldırı kapasitesine ulaşıyor. Bu güç, sadece reklam dolandırıcılığı veya hesap ele geçirme (ATO) için değil, ulusal çapta internet altyapılarını felç etmek için de kullanılabiliyor.
Korunma Rehberi: Akıllı Cihaz Alırken Kontrol Listesi
Evinizdeki veya ofisinizdeki akıllı cihazların birer “Truva Atı”na dönüşmesini engellemek için şu adımları mutlaka uygulayın:
• [ ] Google Play Protect Sertifikası: Sadece bu sertifikaya sahip bilinen markaları tercih edin. Sertifikasız (AOSP) cihazlar her zaman risk taşır.
• [ ] ADB Port Kontrolü: Cihazınızın ayarlarında “Geliştirici Seçenekleri”ni kontrol edin ve Port 5555 (ADB) üzerinden uzaktan erişimin kapalı olduğundan emin olun.
• [ ] Ağ Segmentasyonu (VLAN): IoT cihazlarını (TV box, kamera vb.) ana bilgisayarlarınızın ve hassas verilerinizin bulunduğu ağdan ayırmak için bir VLAN veya “Konuk Ağı” (Guest Wi-Fi) kullanın.
• [ ] “Bedava” Tuzağından Kaçının: “Her şeyi ücretsiz izleten unlocked cihaz” sloganıyla satılan ürünlerden uzak durun.
• [ ] Bilinmeyen SDK’lar: Uygulamaların “kullanılmayan bant genişliğini paraya dönüştürme” tekliflerini asla kabul etmeyin.
Sonuç: Geleceğe Bakış
Siber suçlular artık sadece bilgisayarlarımızı değil, salonumuzdaki TV kutusundan komodindeki dijital fotoğraf çerçevesine kadar her şeyi birer silaha dönüştürüyor. Google ve FBI gibi kurumlar bu ağları çökertmek için devasa operasyonlar yürütseler de, ENS (blockchain) altyapısı ve XXTEA gibi şifreleme yöntemleri bu botnetleri her zamankinden daha dayanıklı kılıyor.
Sorumluluk artık son kullanıcıda bitiyor. Dijital kapınızı kime açtığınızı bilmek zorundasınız. Kapanışta size şu soruyu sormak istiyorum:
“Evinizdeki cihazların sadece size hizmet ettiğinden mi eminsiniz, yoksa internet bağlantınızın başkalarının karanlık işlerine hizmet etmesine izin mi veriyorsunuz?”
