Data Breaches

DDoS Koruması Vaat Eden Firma, Saldırıların Kaynağı mı Çıktı

Siber güvenlik dünyası, hep kahraman savunucuların hikayelerini sever. Peki ya savunmacı, bir anda saldırganın ta kendisine dönüşürse ne olur? DDoS korumasıyla uzmanlaşan Brezilya şirketi Huge Networks, botnet oluşturma ve devasa dağıtılmış hizmet engelleme saldırılarıyla ilgili bir skandalın merkezinde.

Threat Digest 6 min read
Read in: English 日本語 한국어 Русский Türkçe
{# Always render the hero — falls back to the theme OG image when article.image_url is empty (e.g. after the audit's repair_hero_images cleared a blocked Unsplash hot-link). Without this fallback, evergreens with cleared image_url render no hero at all → the JSON-LD ImageObject loses its visual counterpart and LCP attrs go missing. #}
DDoS Koruması Vaat Eden Firma, Saldırıların Kaynağı mı Çıktı? — Threat Digest

Key Takeaways

  • Brezilya merkezli DDoS koruma firması Huge Networks, Brezilya İSS'lerini hedef alan devasa DDoS saldırılarının arkasında olmakla suçlanıyor.
  • Sızdırılan bir arşivde CEO'nun özel SSH anahtarları ve şirket kaynakları kullanılarak inşa edilmiş botnet altyapısına dair kanıtlar bulundu.
  • Saldırılar, savunmasız TP-Link yönlendiricilerini hedef aldı ve amplifikasyon için DNS yansıtma tekniklerini kullandı.

Brezilya’nın yıllardır süregelen devasa DDoS saldırılarının arkasında, hep uzaktan kumanda eden, karanlık bir yabancı tehdit aktörünün olacağı düşünülüyordu. Bu, hepimizin alışık olduğu senaryo: dışarıdan gelen, dijital bir hayalet ortalığı karıştırıyor. Ama bu son gelişme? Bu senaryoyu tamamen ters yüz ediyor. Brezilya’nın İnternet Servis Sağlayıcılarını (İSS) hedef aldığı bilinen saldırıların, kendilerini bu saldırılara karşı kalkan olarak konumlandıran Huge Networks adlı bir firmayla bağlantılı olduğu ortaya çıktı.

Bu, sıradan bir veri ihlali değil. Bu, adeta mimari bir tersine mühendislik. Güçlü ağ savunması prensibi üzerine kurulan bir firmanın, KrebsOnSecurity’nin derinlemesine incelemesine göre, aslında durdurmak için para aldığı saldırıların altyapısını sağladığı iddia ediliyor. Siber güvenlik hizmetlerinin temellerini oluşturan güven ve varsayımlar açısından sonuçları sarsıcı nitelikte.

İşin garip tarafı şu: yıllardır güvenlik uzmanları, Brezilya içinden kaynaklanan ve sadece Brezilya İSS’lerini hedef alan bu devasa DDoS kampanyalarını takip ediyordu. Failler hep esrarengizdi, makine içindeki hayaletler gibiydiler. Sonra, açık bir dizinde bulunan güvenli bir dosya arşivi sırları fısıldamaya başladı. İçinde ne mi vardı? Sadece beklenen Python saldırı betikleri değil, aynı zamanda Huge Networks CEO’sunun özel SSH anahtarları da! Evet, tam olarak o Huge Networks’un CEO’sunun.

Miami’de kurulan ancak ağırlıklı olarak Brezilya’da faaliyet gösteren Huge Networks, oyun sunucularını koruyarak kendine bir niş edinmiş, ardından da İSS odaklı DDoS azaltma çözümlerine yönelmişti. Kamuoyunda herhangi bir şikayete karışmamışlar, bilinen yasa dışı hizmetlerle de bağlantıları yoktu. Şirket imajı titizlikle korunmuştu.

Ancak ortaya çıkan veriler bambaşka bir hikaye anlatıyor. Bu, Brezilya merkezli bir tehdit aktörüne işaret ediyor; Huge Networks altyapısına root erişimi sağlayan birine. Bu sadece yetkisiz erişim değil; bu, bir botnet inşa etmekle ilgili. Arşiv, bu aktörün interneti nasıl sistematik olarak güvensiz yönlendiriciler ve yönetilmeyen DNS sunucuları için taradığını detaylandırıyor – bu cihazlar, dağıtılmış bir saldırı gücüne dahil edilmek için ideal adaylar. Bunlar sadece savunmasız cihazlar değil; bunlar dijital piyadeler.

DNS Yansıtma: Amplifikasyon Motoru

Bu mekanizmanın nasıl çalıştığını anlamak kritik önem taşıyor. DNS, internetin telefon rehberidir ve alan adlarını IP adreslerine çevirir. Normalde, DNS sunucuları bilgiyi saklar ve sadece güvenilir ağlardan gelen sorgulara yanıt verir. Ancak bazıları yanlış yapılandırılmış olup, herkesin erişimine açık santraller gibi davranarak her yerden gelen isteklere yanıt verir. Saldırganlar bunu istismar eder ve taklit edilmiş DNS sorguları gönderir. Hile şu: sorgu, hedefin ağından geliyormuş gibi görünür. Bu yüzden, DNS sunucusu yanıt verdiğinde, saldırganı değil, hedefi trafikle boğar.

Ve sonra amplifikasyon var. DNS protokolüne eklenmiş akıllı bir özellik, nispeten küçük isteklerden devasa yanıtlar alınmasını sağlar. Fısıltının bir çığlığa neden olduğunu hayal edin. Saldırganlar, yanıtın orijinal isteğin 60-70 katı büyüklüğünde olacağı şekilde sorgular hazırlar. On binlerce bu türden ele geçirilmiş cihaz aynı anda bu amplifiye edilmiş sorguları ateşlediğinde… işte o zaman bir İSS’yi veriyle boğarsınız.

TP-Link’in İçindeki Hayalet

Ortaya çıkan arşiv, botnet üyeliği için kesin hedefleri gösteren komut satırı geçmişlerini içeriyor. Özellikle, saldırgan TP-Link Archer AX21 yönlendiricileri için interneti tarıyordu. Neden bunlar? Çünkü CVE-2023-1389’a karşı savunmasızdılar; bu, ayl önce, yani Nisan 2023’te yamalanmış ciddi bir komut enjeksiyonu kusuruydu. Buna rağmen, açıkça hala milyonlarca cihaz savunmasız durumdaydı. Bu, sürekli bir sorunu vurguluyor: güvenlik açığı bildirimleri, yamalar ve milyonlarca cihazda gerçek düzeltme arasındaki gecikme.

Bunu daha da karmaşık hale getiren, Python betiklerinde bulunan kötü amaçlı alan adları — hakylover[.]st ve c.loyaltyservices[.]lol — daha önce Mirai varyantlarıyla desteklenen IoT botnetleri için kontrol sunucuları olarak tanımlanmıştı. Bu yeni bir zararlı yazılım değil; denenmiş ve gerçek yöntemler silahlandırılmış ve görünüşe göre bir anti-DDoS sağlayıcısının altyapısında barındırılıyor.

CEO’nun Kendi Anahtarları

Dijital ekmek kırıntıları doğrudan zirveye doğru gidiyor. Python betikleri açıkça Huge Networks CEO’su Erick Nascimento’nun özel SSH anahtarlarını kullandı. Sorgulandığında, Nascimento dosyaları kabul etti ancak saldırı programlarını kendisinin yazmadığını reddetti. Saldırıların tam boyutunu sadece KrebsOnSecurity ile iletişime geçtiğinde öğrendiğini iddia etti. Şu açıklamayı yaptı:

“Çok çok büyük DDoS saldırıları hakkında birçok Tier 1 upstream sağlayıcısını bilgilendirdik ve bildirimde bulunduk. O zamanlar yeterince derine inmedik ve gönderdikleriniz bunu netleştiriyor.”

Nascimento, Ocak 2026’da (yazım hatası, muhtemelen güvenlik açığı yama tarihine göre 2023 veya 2024 kastediliyor) tespit edilen bir güvenlik ihlaline işaret ediyor. Bu ihlalin, iki geliştirme sunucusunu ve kişisel SSH anahtarlarını ele geçirdiği bildiriliyor. Anahtarların Ocak’tan sonra kullanılmadığında ve şirketin tepkisinin ekibi derhal bilgilendirmek, etkilenen sunucuları silmek ve anahtarları döndürmek olduğunu savunuyor. Ancak arşivin zaman damgaları, Ocak ayının ötesine uzanan bir hikaye anlatıyor.

PR Söylemi ve Mimari Gerçeklik

Bu tüm durum kurumsal hasar kontrolü kokuyor. CEO’nun hikayesi – bir rakibin bir ihlalden faydalanması – rekabetçi siber güvenlik pazarında makul, hatta olası. Ancak kanıtlar daha derin, daha rahatsız edici bir entegrasyonu işaret ediyor. CEO’nun kendi anahtarlarının kullanılması, TP-Link yönlendiricilerindeki CVE-2023-1389 gibi belirli güvenlik açıklarının rutin olarak taranması ve sömürülmesi, Brezilya IP’lerinin tutarlı bir şekilde hedeflenmesi – bunlar hızlı, fırsatçı bir rakip hack’inin işaretleri değil. Sürdürülen, operasyonel bir yeteneğe işaret ediyorlar.

Temel bir soru ortaya çıkıyor: Huge Networks’un meşru operasyonları, bu saldırılar için kullanılan altyapı ile ne kadar derinden iç içeydi? Botnet faaliyeti bağımsız mı işledi, yoksa şirketin ana işinden kaynakları veya hatta içgörüleri mi çekti? Buradaki mimari değişim sadece ihlal edilmiş bir sunucuyla ilgili değil; meşru altyapının kötü niyetli amaçlarla yeniden kullanılma potansiyeliyle ilgili, potansiyel olarak iç kör noktalar veya daha kötüsü, işbirliğiyle.

Bu olay, modern siber güvenliğin karmaşık mimarisinde, koruyucu ile fail arasındaki çizgilerin rahatsız edici derecede bulanıklaşabileceğinin keskin bir hatırlatıcısı. Huge Networks gibi uzmanlaşmış firmalara duyulan güven esastır ve bu güven sorgulandığında bile, tüm ekosistem sarsıntıyı hisseder.

Diğer İSS’ler İçin Neden Önemli?

Bu olay sadece yerel bir skandal değil. Küresel İSS’ler için parlak kırmızı bir uyarı ışığı. DDoS savunmasında uzmanlaşmış bir şirket, saldırı araçlarını barındırmakla suçlanıyorsa, bu tüm tedarik zincirindeki tüm şirketlerin güvenlik duruşu hakkında ne söylüyor? Güvendiğimiz savunmaların işbirliğine açık olabileceğini veya denetim mekanizmalarının devasa kör noktaları olduğunu ima ediyor. Diğer İSS’ler için bu, hizmet sağlayıcılarının bütünlüğünü doğrulama çabalarını ikiye katlamak ve trafiğin tam olarak nereye yönlendirildiğini ve bu ortakların ağlarındaki potansiyel güvenlik açıklarını anlamak anlamına gelir. Sadece sınır savunmalarını değil, tüm ekosistemin daha ayrıntılı bir incelemesini zorunlu kılıyor.

Huge Networks Yalan mı Söylüyor?

İşte milyon dolarlık soru bu. CEO, siber güvenlik dünyasında tamamen mantıksız olmayan bir güvenlik ihlali ve rakip sabotajını içeren bir açıklama sunuyor. Ancak, ortaya çıkan verilerin ayrıntılı doğası, kişisel SSH anahtarlarının sürekli kullanımı ve botnet’in operasyonel detayları, hikayesinin önemli bir inceleme gerektirmesini sağlıyor. Kanıtlar, basit bir anahtar ele geçirme senaryosunun ötesine geçen bir operasyonel faaliyeti işaret ediyor. Daha fazla bağımsız adli analiz olmadan, ifadelerini kesin olarak doğru veya yanlış olarak etiketlemek zor, ancak sunulan gerçekler kesinlikle basit bir ihlal senaryosundan daha karmaşık ve potansiyel olarak daha suçlayıcı bir gerçekliğe doğru eğilim gösteriyor.

🧬 İlgili İçgörüler

Wei Chen
Written by
Wei Chen

Technical security analyst. Specialises in malware reverse engineering, APT campaigns, and incident response.

#botnet #brazil #ddos #huge-networks #isp #vulnerability
More in Data Breaches →

Worth sharing?

Get the best Cybersecurity stories of the week in your inbox — no noise, no spam.

Originally reported by Krebs on Security

Related Stories