Hata imparatorluğunu çökertti! 22 yaşında büyük bir iş başardı, bunu nasıl yaptı?

İnterneti çökertme kapasitesine ulaştığı söylenen, milyonlarca aygıtı ele geçirerek tarihin en büyük siber taarruzlarından kimilerine güç veren dev ağın sırrı, bir üniversite öğrencisinin ısrarı ve yerinde ataklarıyla çözüldü. Rochester Institute of Technology öğrencisi Benjamin Brundage, Discord’daki anonim kaynaklarla konuşurken vakit zaman gönderdiği esprili GIF’lerle karşısındakilerin inancını kazandı. Bu sıra dışı sistem, sonunda dünyanın en tehlikeli siber ağlarından biri olarak gösterilen Kimwolf’un perde gerisini açığa çıkardı.

ERKEN ALARM

Hikâye, internet trafiğini izleyen uzmanların 2025 başından itibaren alışılmadık bir tablo fark etmesiyle başladı. Nokia’nın sensörleri, daha evvel bu ölçekte tehdit olarak görülmeyen aygıtlardan gelen son derece büyük dağıtık hizmet engelleme ataklarını, yani DDoS hücumlarını tespit etti. Bu akınlar, internet sitelerini ya da ağları tıpkı anda çok büyük bilgi yığınıyla boğarak erişilemez hale getiriyor.

Yıl ilerledikçe taarruzların gücü arttı. Yüz binlerce aygıt tıpkı anda ataklara katılıyor, ortaya çıkan trafik birtakım örneklerde internet altyapısını zorlayacak düzeylere ulaşıyordu. Güvenlik araştırmacıları bu yeni tehdidin, “Kimwolf” ismi verilen dev bir botnet olabileceğini düşünmeye başladı. Fakat ortada büyük bir sorun vardı: Bu ağın kim tarafından kurulduğu ve nasıl bu kadar büyüdüğü bilinmiyordu.

Uzmanların dikkatini çeken bir diğer nokta da taarruzlarda, olağanda konut kullanıcılarının internet ilişkilerini kiralayan “residential proxy” ağlarının kullanılıyor üzere görünmesiydi. Bu sistemler kimi vakit zımnilik ya da bilgi toplama hedefiyle kullanılsa da, hatalılar için de kimlik gizlemek ismine elverişli bir taban sunuyor.

ŞÜPHELİ AĞ

Kimwolf’un izleri, Çin temaslı olduğu belirtilen Ipidea isimli gizemli bir şirkete kadar uzandı. Lakin tablo başta tam oturmuyordu. Zira bu çeşit proxy ağlarını işleten şirketler ekseriyetle DDoS ataklarını istemez. Bir aygıt bu türlü taarruzlara karıştığında internetin büyük kısmında kara listeye alınabilir; bu da ticari modeli bozar.

İşte tam bu noktada devreye Benjamin Brundage girdi. Çocukluğunda tabiatta vakit geçirmeyi seven, pandemi devrinde Minecraft oynarken programlama ve sistemlerle ilgilenmeye başlayan genç araştırmacı, vakitle web kazıyıcılar ve proxy ağları üzerinde uzmanlaşmaya başladı. Üniversitede okurken kendi başına bu ağları kataloglamaya koyuldu.

Brundage, aylar boyunca Ipidea ile alakalı IP adreslerini çıkardı, ağı haritaladı ve hatta Synthient ismini verdiği küçük bir teşebbüs kurarak elindeki bilgileri dolandırıcılık riskine karşı şirketlere sunmaya başladı. Eylül ayında Discord’daki bir araştırma kümesinde kendi aracını paylaşınca beklenmedik bir bildiri aldı. Anonim bir kullanıcı, Brundage’ın listesinin eksik olduğunu söylüyor, hatta bunu ekran imajlarıyla kanıtlıyordu.

Genç araştırmacı o anda karşısındaki kişinin “övündüğünü” düşündü. Daha fazla bilgi almak için de resmi ve sert bir lisan yerine internet kültürünün içinden gelen daha rahat bir yaklaşım benimsedi. Teknik soruların ortasına esprili GIF’ler, bilhassa de kravatı düzeltilen bir gri kedinin kısa görüntüsünü sıkıştırdı. Bu metot işe yaradı. Karşısındaki kişi konuşmaya başladı.

KIRILMA ANI

Brundage’ın ulaştığı bilgiler, kısa müddet sonra internetin omurgasını koruyan daha tecrübeli araştırmacıların da dikkatini çekti. Lumen, Akamai ve öteki büyük ağ şirketlerinden uzmanların yer aldığı kümelerle temasa geçti. Bu gruplar Kimwolf’un nasıl çalıştığını anlamaya çalışıyordu ancak hâlâ net bir sonuca ulaşamamışlardı.

Bir müddet sonra taarruz trafiğinin kaynağına ait çarpıcı bir bulgu ortaya çıktı. Şirketlerden birinin yaptığı incelemede, makûs gayeli trafiğin bir kısmının direkt bir çalışanın konut kontağından geldiği görüldü. İz sürüldüğünde kaynak aygıtın, internete bağlı bir dijital fotoğraf çerçevesi olduğu anlaşıldı. Ucuz sayılabilecek bu aygıt, yüz binlerce anlamsız bilgi paketi göndererek hücumun kesimi haline gelmişti.
Bu keşif değerliydi zira tehdidin sadece bilgisayarlar ya da sunucularla hudutlu olmadığını gösteriyordu. İnternete bağlı Android tabanlı yayın kutuları, telefonlar, kameralar ve dijital çerçeveler üzere gündelik aygıtlar da atak ordusuna dönüşmüş durumdaydı.

Brundage ve takım, haftalar boyunca Discord ve Telegram kanallarında dolaştı, saldırganların kullandığı topluluklara sızdı ve adım adım yeni datalar topladı. Elde edilen bilgiler, Kimwolf’u işleten kümenin teknik açıdan yaratıcı lakin tıpkı vakitte genç ve dikkatsiz bireylerden oluştuğunu düşündürdü. O kadar rahatlardı ki, aylık yaklaşık 30 bin dolarlık sunucu masrafından bile kelam ediyorlardı. Bu da ağın boyutunun varsayım edilenden çok daha büyük olduğuna işaret ediyordu.

AÇIK KAPI

Brundage, sorunun merkezinde bir yazılım açığı olduğundan şüpheleniyordu. Bunun üzerine Ipidea’nın yazılımını korsan yayın uygulamaları sunan bir siteden indirip denetim ettiği bir Android telefona kurdu. 16 Kasım’da, tam imtihan devrinin ortasında, telefonun Kimwolf ile kontaklı bir alan ismiyle irtibat kurduğunu fark etti. Aranan “sigara tüten silah” sonunda bulunmuştu.

Yapılan inceleme, Kimwolf ile Ipidea’nın direkt ortak olmadığını ortaya koydu. Asıl tablo çok daha rahatsız ediciydi. Kimwolf operatörleri, Ipidea’nın fiyatlı erişim sunduğu aygıtlara ulaşıyor, akabinde bu aygıtlara kendi makûs emelli proxy yazılımlarını yerleştiriyordu. Böylelikle hem DDoS saldırısı yapılabilen farklı bir ağ kuruyorlar hem de bu erişimi diğerlerine satıyordu. Diğer bir deyişle, ortada “hizmet olarak siber suç” modeli vardı.

Brundage’ın hesaplamasına nazaran bu yolla ele geçirilen aygıt sayısı yaklaşık 2 milyona ulaştı. Üstelik her gün on binlerce yeni aygıt ağa ekleniyordu. Bu aygıtların tamamı Android tabanlıydı. Konutlarda kullanılan sıradan elektronik eserler, farkında olmadan global ölçekte hücum makinesine dönüşmüştü.

Daha da berbatı, tehlike sadece mesken kullanıcılarıyla hudutlu değildi. Araştırmalar ilerledikçe binlerce şirketin de bu yapıdan etkilenmiş olabileceği görüldü. Evvelce enfekte aygıtların kurumsal ağlarda kullanılması ya da çalışanların telefon ve tabletleri üzerinden ziyanlı yazılımın şirket ağlarına sızması ihtimali gündeme geldi. Bu durum, sadece internet sitelerini kapatabilecek taarruzlar değil; fidye yazılımı, bilgi hırsızlığı ve kalıcı art kapılar üzere daha ağır senaryoların da mümkün olduğunu gösterdi.

SON DARBE

Brundage, tespit ettiği açığın sadece bir şirketi değil, en az 11 büyük residential proxy sağlayıcısını etkilediğini belirledi. Bu şirketlere nasıl tedbir alabileceklerini anlatan ihtar e-postaları hazırladı. Fakat bunu yapmadan evvel finallerini bitirmesi gerekiyordu. İmtihanlarının çabucak akabinde 17 Aralık’ta ikazları gönderdi.

Noel devrinde büyük bir siber felaket yaşanmadı. 26 Aralık’ta Ipidea’dan gelen bildiride şirket, e-postanın spam klasörüne düştüğünü lakin sorunu düzeltmeye başladıklarını bildirdi. Akabinde bahis daha geniş güvenlik etraflarında duyuldu. Güvenlik bloglarında çıkan haberler ve araştırmacıların ikazlarıyla birlikte olayın çapı netleşti.

Ocak ayında Google, ABD’de aldığı mahkeme kararıyla Ipidea’ya ağır darbe vurdu. Şirketin işlettirdiği belirtilen 13 alan ismi amaç alındı, çok sayıda sunucu kapatıldı. Google’ın daha evvel 10 milyondan fazla Android aygıtta, Ipidea’nın residential proxy yazılımının gizlice evvelce yüklü geldiğini tespit ettiği aktarıldı.

Son büyük adım ise 19 Mart’ta geldi. Federal yetkililer, dünyanın en büyük dört DDoS botnet’inden birinin de ortalarında bulunduğu geniş çaplı bir operasyon düzenlediklerini açıkladı. Bu ağlardan biri Kimwolf’tu. Resmi kayıtlara nazaran Kimwolf, 8 binden fazla kurbanı amaç alan 26 binden fazla DDoS taarruzunda kullanıldı. Operasyona ait açıklamada Brundage’ın şirketi Synthient’e de teşekkür edildi.
Sektör kaynakları bugün Kimwolf’un eski gücünün çok uzağında olduğunu söylüyor. Bir devir internetin tamamını tehdit edebilecek ölçekte görülen ağın, artık geçmişteki tesirini büyük ölçüde kaybettiği bedellendiriliyor.

Henüz 22 yaşında olan Benjamin Brundage içinse öykü dikkat alımlı bir noktaya geldi. Yıllar evvel Hollanda hükümetinde bulduğu açık nedeniyle ödül olarak sadece bir tişört alan genç araştırmacıya, bu defa federal bir yetkiliden ileti geldi. Sorulan şey kolaydı: “Sana bir tişört göndermek için en güzel adres ne, vücudun ne?”