Botnetler ve backdoorlar: Ücretsiz VPN’lerin truva atı

Bu ağlar genellikle “bot” adı verilen köle bilgisayarlar aracılığıyla çeşitli saldırıları otomatikleştirir, örneğin veri çalma, sunucu çökertme ve kötü amaçlı yazılım dağıtımı gibi faaliyetleri.

Milyonlarca cihazı sömüren geniş çaplı botnette kullanılan ücretsiz VPN’ler

Backdoor: Backdoor, İngilizce’de “arka kapı” anlamına gelir ve bir sistemin güvenlik önlemlerini atlatarak yetkisiz kişilerin erişim sağlamasına imkân tanıyan herhangi bir yöntemdir.

Bir sanal suçla suçlanmak nasıl olurdu düşünün. İnternet hakkında pek bir şey bilmiyorsunuz, suçla ilgili neredeyse hiçbir şey bilmiyorsunuz. Birdenbire, dijital deliller ve siber güvenlik konuları sizi alt üst ediyor. Polis cihazlarınıza el koyuyor ve dijital yaşamınızın her detayını incelemeye başlıyor. En sonunda yetkililer, bilgisayarınızın benzersiz IP adresi üzerinden beş haneli bir miktarda dolandırıcılık yaptığınızı söylüyorlar. Belki de daha da anlaşılmaz bir şey yaptığınızı iddia ediyorlar. Her halükarda, suçu anlamadığınız bir şey için adınızı temizlemek için hukuki bir mücadeleye atılmış oluyorsunuz. Bu kabus, birçok internet kullanıcısı için gerçekten karşılaşabileceği bir durum.

Sadece birkaç hafta önce, ABD Adalet Bakanlığı (DoJ) öncülüğünde gerçekleştirilen uluslararası bir operasyon, 911 S5 adlı geniş kapsamlı küresel bir botneti çökertti. DoJ, bu botneti “muhtemelen dünyanın en büyük botneti” olarak tanımlıyor. Botnet, 10 yıllık süreçte neredeyse 200 ülkede 19 milyon benzersiz IP adresine sızdı. Kompromize edilen cihazlara erişim, suç işlemek isteyenlere satılarak, hırsızlık, dolandırıcılık gibi suçları gerçekleştirmek ve bu eylemleri yaparken masum kullanıcıların IP adreslerini kullanmak için kullanılıyordu.

Bu hikayenin önemli bir noktası, altı ücretsiz Sanal Özel Ağ (VPN) yazılımının içine yerleştirilmiş backdoorların kullanılmasıydı. Bu VPN yazılımları, normalde VPN olarak çalışırken aynı zamanda kötü amaçlı yazılım işlevi görüyordu. İddia edilen bot yöneticisinin tutuklanmasının ardından Federal Soruşturma Bürosu (FBI), kullanıcılara bir uyarı yayımlayarak bu VPN’leri kaldırmalarını ve sistemlerini tarayarak suçluların sistemlerini istismar etmek için kullanılan kötü amaçlı yazılım dosyalarını bulmalarını önerdi.

Nym Dispatch’in ilk yayınları boyunca, “ücretsiz” VPN hizmetlerinin kullanımındaki risklere odaklanacağız. Araştırmalarımız gösterecek ki, pek çok ücretsiz VPN kullanıcı gizliliği ve güvenliği ciddi şekilde tehlikeye sokabilir ve genellikle hedeflenmiş reklam gibi rahatsız edici uygulamalar içerirler. Bu durum, kullanıcıların VPN’e başvurmasının temel sebebi olan gerçek gizlilik, güvenlik ve çevrimiçi anonimite anlayışıyla tamamen zıttır. 911 S5 botneti bir uyarı işareti olmalı, ancak bu sorun çok daha derinlere uzanıyor.

ProxyGate 2024: İkili milyar dolarlık bir truva atı

Bir botnet, merkezi bir güç tarafından uzaktan kontrol edilebilen, ele geçirilmiş cihazların ağıdır. Bir kez ele geçirildikten sonra, bu cihazlar sahiplerinin haberi olmadan zararlı faaliyetler için kullanılabilir; bunlar arasında DDoS saldırıları, spam gönderimi, dolandırıcılık veya çocuk pornografisi gibi kötü amaçlı etkinlikler bulunabilir.

911 S5 konut proxy ağı, dünya çapında 150 sunucu tarafından desteklenerek oluşturulmuş ve bot yöneticisi milyonlarca IP adresine erişimi sanal bir pazarda satmıştır. Alıcılar daha sonra bu IP’leri kullanarak çeşitli yasa dışı faaliyetlerde bulunmuş, en dikkat çekici olarak da sahte başvuru talepleriyle ABD hükümetinin pandemi yardım programından milyarlarca dolar çalmışlardır.

Bu ölçekte bir operasyon nasıl mümkün oldu? 10 Mayıs 2024 tarihli DoJ mahkeme kararına göre, şüpheli, kendi “çevrimiçi ücretsiz VPN yazılımlarını sunarak” ve kullanıcıların “meşru bir VPN programı indirdiklerini düşündükleri” şeyden kötü amaçlı özellikleri gizleyerek cihazlarına backdoor erişimi sağladı. Kötü amaçlı yazılım ayrıca torrent yazılımları ve “kurulum başına ödeme” hizmetleriyle yayıldı; burada dijital dağıtımcılar, kötü amaçlı yazılımla paketlenmiş bir program başarıyla bir kullanıcı cihazına yüklendiğinde ödeme aldılar.

911 S5 pazar yeri, iddiaya göre 2022'de araştırmacılar tarafından kapatıldı, ancak 2023'te “Cloudrouter” olarak yeniden ortaya çıktı. Ancak kötü amaçlı yazılım, FBI’ın “Operation Tunnel Rat” adlı müdahalesine kadar kullanıcı sistemlerinde herhangi bir duraksama olmadan çalışmaya devam etti ve sonunda FBI VPN alanlarını kapattı ve VPN programlarının adlarını halka duyurdu.

24 Mayıs 2024 tarihindeki gözaltı sırasında, iddia edilen bot yöneticisi yalnızca IP erişimi satışından 99 milyon dolar kar elde etmişti. ABD hükümetinin pandemi ve işsizlik yardım programlarından şaşırtıcı bir şekilde 5,9 milyar dolar dolandırıldı. Milyonlarca masum insanın yaşadığı kayıplar, acılar ve karmaşa hala çözülmeyi bekliyor.

Ücretsiz VPN backdoor

911 S5 botnetinde kötü amaçlı yazılım bulaşmaları için backdoor sağladığı iddia edilen altı VPN ve proxy hizmeti:

• MaskVPN
• DewVPN
• PaladinVPN
• ProxyGate
• ShieldVPN
• ShineVPN

Bu VPN hizmetleri hakkında kesin olarak ne biliyoruz? Beklendiği gibi, şaşırtıcı derecede az şey. İddianame, bu VPN hizmetlerinin botnet kurmak için özel olarak tasarlandığını açıkça belirtiyor. Kötü amaçlı yazılım, kullanıcıların genellikle kendilerini koruduğunu düşündükleri “MaskVPN.exe” gibi zararsız görünen .exe işlem dosyaları olarak kullanıcıların sistemlerinde arka planda aktif kaldı. Milyonlarca kullanıcı tarafından indirilen bu VPN’ler hakkında bulunabilecek az bilgi, ücretsiz VPN endüstrisinin ne kadar düzenlenmemiş ve denetlenmemiş olduğunun açık bir işaretidir.

FBI tarafından ele geçirilen PaladinVPN.com, DewVPN.com ve ShineVPN.com gibi gerçek alan adlarına sahip olan yukarıdaki VPN hizmetleri, MaskVPN için ise aktif olan mmaskvpns.com gibi sahte bir alan adına sahiptir. MaskVPN, kullanıcılarına “gizliliğinizi korumak için sızıntı geçirmez bir şekilde güvende olduğunuzu” vaat etmektedir.

10 Haziran 2024 tarihinde paladinvpn.com ana sayfasının ekran görüntüsü.

Yayımlandığı tarihte, yukarıda adı geçen hizmetlerin adlarını taşıyan birçok uygulama hâlâ Google Play, Apple ve diğer uygulama mağazalarında indirilebilir durumda. Bu uygulamalar arasında ShieldVPN, ShineVPN ve MaskVPN gibi bazıları bulunmaktadır; örneğin, Shine VPN Google Play’de 500 binden fazla indirilmiş. Ancak Nym, bu uygulamaların mahkeme kararındaki hizmetlerle aynı olup olmadığını veya başka benzer adlara sahip sağlayıcılarla ilgili olup olmadığını henüz doğrulamış değil. Güvenlik raporlama firmaları ve forumlar tarafından uzun süredir kötü amaçlı faaliyetlerle ilişkilendirilen ProxyGate proxy sunucusu, ProxyGate VPN olarak hâlâ indirilebilir durumda, fakat bu uygulamanın 911 S5 botnet ile ilişkili olup olmadığı belirsizdir.

Bu belirli VPN hizmetlerinin işleyişi, hangi platformlarda dağıtıldıkları ve yıllar içinde kaç kullanıcının indirdiği gibi daha fazla detay için daha fazla bilgi beklememiz gerekecek. Ancak şu süreçte sormak zorunda olduğumuz önemli sorular var:

• Bu VPN’lerin kötü amaçlı yazılım işlevleri neden yıllarca fark edilmedi?
• Piyasada bulunan diğer ücretsiz VPN yazılımları şu anda hangi gizli işlevleri yerine getiriyor?
• Gerçek bir gizlilik aracına yatırım yapmak yerine her ay birkaç dolar tasarruf etmek için ne kadar gizlilik ihlali ve güvenlik riski kabul etmeye hazırız?

Ücretsiz VPN’lerin riskleri

Dünya genelinde VPN kullanan kullanıcıların beşte birinden fazlasının ücretsiz sürümleri tercih ettiği ve bu durumun 600 milyon VPN kullanıcısının gizliliği için ne anlama geldiği tahmin ediliyor.

İlk bakışta bir “ücretsiz” hizmette bir sorun yok gibi görünüyor. Aslında, gizliliği koruyan güvenilir VPN sağlayıcıları var ve bunlar kamusal yarar için ücretsiz olarak sunuluyor. Ancak indirilebilen yüzlerce ücretsiz VPN için geçerli olan iş modeli oldukça farklı: Eğer kullanıcı aboneliklerinden gelir elde edilmiyorsa, geliri kesinlikle başka yollardan sağlarlar.

Nym’in devam eden serisinde göreceğimiz gibi, bu gizli gelir çeşitli taktiklerle elde ediliyor: hedeflenmiş ve eklenmiş reklamlar, kullanıcı verilerinin aracılara satılması ve hatta üçüncü tarafların kullanıcıların tarayıcılarına çerezler yerleştirmesi gibi yöntemlerle. Yani, ücretsiz VPN’ler gizliliği pazarlarken, aslında gözetimden kazanç sağlıyorlar. Ve bu gözetimin hedefi, suç işlemek değil, kişisel yaşamımızın en küçük detaylarına kadar iniyor.

Ancak 911 S3 botnet’in arkasındaki ücretsiz VPN’ler çok daha ciddi bir güvenlik riski taşıyor: cihazlarımız ve kimliklerimiz suç dünyası tarafından ele geçirilebiliyor. Tabii ki, bu kötü amaçlı VPN hizmetleri sadece yüzlerce “ücretsiz” VPN içinde birkaç kötü oyuncudan biri olabilir. Ancak bu durum, milyarlarca dolarlık finansal kayıplara yol açabilecek risklerin net bir şekilde ortaya konması gerektiğini gösteriyor, hem kullanıcılar hem de kurumlar için.

Hiçbir şey bedava değildir.

Neredeyse her VPN, kullanıcı gizliliğini korumak için gerçek IP adresini gizlediğini söyleyerek kendini pazarlar. Birçok kullanıcı, bu özelliğin ihtiyaçlarını karşıladığını düşünebilir. Ancak çoğu zaman, kişisel çevrimiçi aktivitelerimizin meta verilerinin toplu olarak toplandığını, satıldığını ve algoritmalarla analiz edildiğini tam olarak anlamayabilirler. Gerçek IP adresini gizlemenin ne kadar işe yaradığı önemli olabilir, ancak yapay zeka destekli algoritmalarla çevrimiçi tarama geçmişimizin tam olarak yeniden oluşturulabileceğini bilmek önemlidir.

Bu veri toplama ve kullanımıyla mücadele etmek kolay değildir. Gizliliğinizi korumak için tasarlanmış ileri düzey VPN teknolojileri genellikle bir kullanıcı yatırımı gerektirir. Sonuçta, evinize ücretsiz bir kamera-güvenlik sistemi kurulmasını teklif eden birine teknisyenleri düşünmeden içeri alır mıydınız?

Ücretsiz sunulan herhangi bir yazılımın arkasında genellikle gizli maliyetler bulunur. Bu maliyetler, daha yavaş veya sınırlı bir VPN hizmeti gibi basit olabilir. Ancak genellikle bu maliyetler, çevrimiçi alışkanlıklarınızı analiz ederek kişiselleştirilmiş reklamlar enjekte etmek gibi daha az kabul edilebilir pratiklerdir. Daha da kötüsü, bu tür meta veri kayıtları düzenli olarak IP ve e-posta adresleri, trafik günlükleri ve bireysel davranış kalıpları gibi bilgileri satın alan geniş bir yeraltı pazarına sunulur. Üstelik ücretsiz bir VPN’ın bilgisayarınızı uzun süreli bir zombi proxy’e dönüştürmüş olma riski de gerçek bir olasılıktır.

Gerçek çevrimiçi gizlilik temel bir haktır, ancak korunması sürekli bir çaba gerektirir. Bu savaşı kazanmak, önce gerçek tehditlere karşı uyanık olmayı ve kendimizi savunmak için uygun araçları seçmeyi gerektirir. Ücretsiz VPN’ler bu amaç için güvenilir araçlar değildir.

Gizlilik tehdidi hakkında daha fazla bilgi edinmek için Nym Dispatch’i takip edebilirsiniz!

Nym Dispatch

Bu, çevrimiçi ve sosyal gizlilik ekosistemine derinlemesine dalan Nym Dispatch serisinin ilk makalesidir. Online gözetim ekonomisinin riskleri ve para kazanma taktikleri hakkında daha fazla bilgi edinmek için takipte kalın. İlk olarak ücretsiz VPN pazarıyla başlayacağız. Seri, ücretsiz VPN’lerin kayıt tutma uygulamalarını, kasıtlı olarak belirsiz rıza sözleşmelerini, verilerimizi nasıl, neden ve kime sattıklarını, ve müdahaleci reklam uygulamalarını detaylı bir şekilde ele alacaktır.