Üniversiteli genç suç imparatorluğunu çökertti: Kimwolf android cihazlara nasıl sızdı?

ABD’de yaşayan 22 yaşındaki üniversite öğrencisi Benjamin Brundage, Discord’daki anonim kaynaklardan aldığı ipuçları ve kendi teknik incelemesiyle milyonlarca Android cihazı ele geçiren dev siber ağı ortaya çıkardı.

Evlerde kullanılan yayın kutuları, telefonlar, kameralar ve dijital fotoğraf çerçevelerinin saldırı aracı haline getirildiği “Kimwolf” ağına yönelik operasyon sonrası, internete şimdiye kadar görülmüş en büyük tehditlerden birinin perde arkası da açığa çıktı.

İnterneti çökertme kapasitesine ulaştığı söylenen ve milyonlarca cihazı ele geçirerek tarihin en büyük siber saldırılarından bazılarına güç veren dev ağın sırrı bir üniversite öğrencisinin ısrarı ve yerinde hamleleriyle çözüldü. Rochester Institute of Technology öğrencisi Benjamin Brundage, Discord’daki anonim kaynaklarla konuşurken zaman zaman gönderdiği esprili GIF’lerle karşısındakilerin güvenini kazandı. Bu sıra dışı yöntem sonunda dünyanın en tehlikeli siber ağlarından biri olarak gösterilen Kimwolf’un perde arkasını açığa çıkardı.

Hikâye internet trafiğini izleyen uzmanların 2025 başından itibaren alışılmadık bir tablo fark etmesiyle başladı. Nokia’nın sensörleri daha önce bu ölçekte tehdit olarak görülmeyen cihazlardan gelen son derece büyük dağıtık hizmet engelleme saldırılarını, yani DDoS saldırılarını tespit etti. Bu saldırılar internet sitelerini ya da ağları aynı anda çok büyük veri yığınıyla boğarak erişilemez hale getiriyor.

Yıl ilerledikçe saldırıların gücü arttı. Yüz binlerce cihaz aynı anda saldırılara katılıyor, ortaya çıkan bazı örneklerde internet altyapısını zorlayacak seviyelere ulaşıyordu. Güvenlik araştırmacıları bu yeni tehdidin “Kimwolf” adı verilen dev bir botnet olabileceğini düşünmeye başladı. Ancak ortada büyük bir sorun vardı: Bu ağın kim tarafından kurulduğu ve nasıl bu kadar büyüdüğü bilinmiyordu.Uzmanların dikkatini çeken bir başka nokta da saldırılarda normalde ev kullanıcılarının internet bağlantılarını kiralayan “residential proxy” ağlarının kullanılıyor gibi görünmesiydi. Bu sistemler kimi zaman gizlilik ya da veri toplama amacıyla kullanılsa da, suçlular için de kimlik gizlemek adına elverişli bir zemin sunuyor.

Kimwolf’un izleri Çin bağlantılı olduğu belirtilen Ipidea adlı gizemli şirkete kadar uzandı. Ancak tablo başta tam oturmuyordu. Çünkü bu tür proxy ağlarını işleten şirketler genellikle DDoS saldırılarını istemez. Bir cihaz böyle saldırılara karıştığında internetin büyük bölümünde kara listeye alınabilir; bu da ticari modeli bozar.

İşte tam bu noktada devreye Benjamin Brundage girdi. Çocukluğunda doğada vakit geçirmeyi seven, pandemi döneminde Minecraft oynarken programlama ve sistemlerle ilgilenmeye başlayan genç araştırmacı, zamanla web kazıyıcılar ve proxy ağları üzerinde uzmanlaşmaya başladı. Üniversitede okurken kendi başına bu ağları kataloglamaya koyuldu.

Brundage, aylar boyunca Ipidea ile ilişkili IP adreslerini çıkardı, ağı haritaladı ve hatta Synthient adını verdiği küçük bir girişim kurarak elindeki verileri dolandırıcılık riskine karşı şirketlere sunmaya başladı. Eylül ayında Discord’daki bir araştırma grubunda kendi aracını paylaşınca beklenmedik bir mesaj aldı. Anonim bir kullanıcı Brundage’ın listesinin eksik olduğunu söylüyor, hatta bunu ekran görüntüleriyle kanıtlıyordu.

Genç araştırmacı o anda karşısındaki kişinin “övündüğünü” düşündü. Daha fazla bilgi almak için de resmi ve sert bir dil yerine internet kültürünün içinden gelen daha rahat bir yaklaşım benimsedi. Teknik soruların arasına esprili GIF’ler, özellikle de kravatı düzeltilen bir gri kedinin kısa videosunu sıkıştırdı. Bu yöntem işe yaradı. Karşısındaki kişi konuşmaya başladı.

Brundage’ın ulaştığı bilgiler kısa süre sonra internetin omurgasını koruyan daha deneyimli araştırmacıların da dikkatini çekti. Lumen, Akamai ve başka büyük ağ şirketlerinden uzmanların yer aldığı gruplarla temasa geçti. Bu ekipler Kimwolf’un nasıl çalıştığını anlamaya çalışıyordu ama hâlâ net bir sonuca ulaşamamışlardı.

Bir süre sonra saldırı trafiğinin kaynağına ilişkin çarpıcı bir bulgu ortaya çıktı. Şirketlerden birinin yaptığı incelemede, kötü amaçlı trafiğin bir kısmının doğrudan bir çalışanın ev bağlantısından geldiği görüldü. İz sürüldüğünde kaynak cihazın, internete bağlı bir dijital fotoğraf çerçevesi olduğu anlaşıldı. Ucuz sayılabilecek bu cihaz, yüz binlerce anlamsız veri paketi göndererek saldırının parçası haline gelmişti.

Bu keşif önemliydi çünkü tehdidin yalnızca bilgisayarlar ya da sunucularla sınırlı olmadığını gösteriyordu. İnternete bağlı Android tabanlı yayın kutuları, telefonlar, kameralar ve dijital çerçeveler gibi gündelik cihazlar da saldırı ordusuna dönüşmüş durumdaydı.

Brundage ve ekip haftalar boyunca Discord ve Telegram kanallarında dolaştı, saldırganların kullandığı topluluklara sızdı ve adım adım yeni veriler topladı. Elde edilen bilgiler, Kimwolf’u işleten grubun teknik açıdan yaratıcı ama aynı zamanda genç ve dikkatsiz kişilerden oluştuğunu düşündürdü. O kadar rahatlardı ki, aylık yaklaşık 30 bin dolarlık sunucu masrafından bile söz ediyorlardı. Bu da ağın boyutunun tahmin edilenden çok daha büyük olduğuna işaret ediyordu.

Brundage meselenin merkezinde bir yazılım açığı olduğundan şüpheleniyordu. Bunun üzerine Ipidea’nın yazılımını korsan yayın uygulamaları sunan bir siteden indirip kontrol ettiği bir Android telefona kurdu. 16 Kasım’da tam sınav döneminin ortasında telefonun Kimwolf ile bağlantılı bir alan adıyla iletişim kurduğunu fark etti. Aranan “dumanı tüten silah” sonunda bulunmuştu.

Yapılan inceleme Kimwolf ile Ipidea’nın doğrudan ortak olmadığını ortaya koydu. Asıl tablo çok daha rahatsız ediciydi. Kimwolf operatörleri Ipidea’nın ücretli erişim sunduğu cihazlara ulaşıyor, ardından bu cihazlara kendi kötü amaçlı proxy yazılımlarını yerleştiriyordu. Böylece hem DDoS saldırısı yapılabilen ayrı bir ağ kuruyorlar hem de bu erişimi başkalarına satıyordu. Başka bir deyişle, ortada “hizmet olarak siber suç” modeli vardı.

Brundage’ın hesaplamasına göre bu yöntemle ele geçirilen cihaz sayısı yaklaşık 2 milyona ulaştı. Üstelik her gün on binlerce yeni cihaz ağa ekleniyordu. Bu cihazların tamamı Android tabanlıydı. Evlerde kullanılan sıradan elektronik ürünler, farkında olmadan küresel ölçekte saldırı makinesine dönüşmüştü.

Daha da kötüsü tehlike yalnızca ev kullanıcılarıyla sınırlı değildi. Araştırmalar ilerledikçe binlerce şirketin de bu yapıdan etkilenmiş olabileceği görüldü. Önceden enfekte cihazların kurumsal ağlarda kullanılması ya da çalışanların telefon ve tabletleri üzerinden zararlı yazılımın şirket ağlarına sızması ihtimali gündeme geldi. Bu durum, yalnızca internet sitelerini kapatabilecek saldırılar değil; fidye yazılımı, veri hırsızlığı ve kalıcı arka kapılar gibi daha ağır senaryoların da mümkün olduğunu gösterdi.

Brundage, tespit ettiği açığın yalnızca bir şirketi değil en az 11 büyük residential proxy sağlayıcısını etkilediğini belirledi. Bu şirketlere nasıl önlem alabileceklerini anlatan uyarı e-postaları hazırladı. Ancak bunu yapmadan önce finallerini bitirmesi gerekiyordu. Sınavlarının hemen ardından 17 Aralık’ta uyarıları gönderdi.

Noel döneminde büyük bir siber felaket yaşanmadı. 26 Aralık’ta Ipidea’dan gelen mesajda şirket, e-postanın spam klasörüne düştüğünü ama sorunu düzeltmeye başladıklarını bildirdi. Ardından konu daha geniş güvenlik çevrelerinde duyuldu. Güvenlik bloglarında çıkan ve araştırmacıların uyarılarıyla birlikte olayın çapı netleşti.

Ocak ayında Google, ABD’de aldığı mahkeme kararıyla Ipidea’ya ağır darbe vurdu. Şirketin işlettirdiği belirtilen 13 alan adı hedef alındı, çok sayıda sunucu kapatıldı. Google’ın daha önce 10 milyondan fazla Android cihazda Ipidea’nın residential proxy yazılımının gizlice önceden yüklü geldiğini tespit ettiği aktarıldı.

Son büyük adım 19 Mart’ta geldi. Federal yetkililer dünyanın en büyük dört DDoS botnet’inden birinin de aralarında olduğu geniş çaplı bir operasyon düzenledi. Bu ağlardan biri Kimwolf’tu. Resmi kayıtlara göre Kimwolf 8 binden fazla kurbanı hedef alan 26 binden fazla DDoS saldırısında kullanıldı. Operasyona ilişkin açıklamada Brundage’ın şirketi Synthient’e de teşekkür edildi.

Sektör kaynakları Kimwolf’un artık eski gücünün çok uzağında olduğunu söylüyor. Bir dönem internetin tamamını tehdit edebilecek ölçekte görülen ağın etkisini büyük ölçüde kaybettiği değerlendiriliyor.Henüz 22 yaşındaki Benjamin Brundage içinse hikâye dikkat çekici bir noktaya geldi. Yıllar önce Hollanda hükümetinde bulduğu açık nedeniyle ödül olarak yalnızca bir tişört alan genç araştırmacıya federal bir yetkiliden gelen mesaj basitti: “Sana bir tişört göndereceğiz de adresin ne, hangi beden giyiyorsun?”