Kimwolf botnet’ini yöneten suçluların paylaştığı bir ekran görüntüsü, Badbox 2.0’un arkasındaki isimlere dair bugüne kadarki en net izleri ortaya koyuyor.
Kimwolf adlı botnet’i yöneten saldırganlar (2+ milyon enfekte cihaz), yakın zamanda Badbox 2.0’ın kontrol paneline girdiklerini iddia eden bir panel ekran görüntüsü paylaştı. Badbox 2.0 ise özellikle sertifikasız Android TV kutularına (Android TV box) önceden yüklenmiş zararlı yazılım ile yayılan, büyük ölçekli bir botnet altyapısı.
Bu iddia, iki nedenle kritik:
Ekran görüntüsünde Badbox 2.0 kontrol panelinde yetkili kullanıcılar ve e-posta adresleri listeleniyor. Toplam 7 kullanıcı görülüyor. Burada dikkat çeken detay: Diğer kullanıcılar belirli bir şablona yakınken, “ABCD” adlı hesap “aykırı” duruyor.
Kaynaklara göre:
Bu noktada iki senaryo var:
Araştırmanın kilidi, tam burada başlıyor:
Paneldeki e-postalar ve domain geçmişleri gerçek hayatta iz bırakıyor mu?
Panelde “Chen” kullanıcısına karşılık gelen e-posta: [email protected]
Bu e-posta, açık kaynak aramalarında Çin merkezli birden fazla teknoloji şirketinin irtibat adresi olarak görünüyor. Bu şirketler içinde özellikle iki alan adı dikkat çekiyor:
Çünkü bu domainler, daha önce yayımlanan tehdit raporlarında Badbox 2.0 altyapısı ile ilişkilendirilen alan adları arasında yer alıyor.
Buradaki kritik mantık şu:
OSINT’in en güçlü tarafı bazen “hack” değil, insan hatasıdır.
Breach/credential izleme kaynaklarında, [email protected] hesabının bir dönem “cdh76111” benzeri bir şifre kullandığı bilgisi çıkıyor.
Bu şifre pivot edildiğinde, aynı şifreyi kullanan başka e-posta hesapları ortaya çıkıyor. Bunlardan öne çıkanlardan biri:
Bu tarz “şifre tekrar kullanımı” (credential reuse), özellikle attribution çalışmalarında çok değerlidir; çünkü farklı platformlardaki kimlik parçalarını birbirine bağlar.
“cathead” kimliği, başka pivotlarla bir noktaya daha bağlanıyor:
Archive (web arşiv) kayıtlarında astrolink[.]cn sitesinin “Contact Us” bölümünde:
ve aynı sayfada:
görünüyor.
Bu sayfa, Badbox panelindeki kullanıcılarla kritik şekilde eşleşiyor çünkü panelde:
Bu, “paneldeki e-posta → şirketin resmi iletişim sayfasındaki e-posta” eşleşmesine benzer şekilde attribution’i kuvvetlendiren bir çapraz kanıt oluşturuyor.
Paneldeki ilk kullanıcı “admin” hesabı ve e-posta:
Bu adres, domain kayıtları ve OSINT pivotlarıyla:
Burada önemli olan şu:
Kimwolf’un yayılma modeli bir süre “residential proxy açıkları” üzerinden yürüyordu. Bu açıklar kapatıldıkça Kimwolf’un büyümesi zorlaşacaktı.
Ama eğer Kimwolf yöneticileri gerçekten Badbox paneline eriştiyse:
Bu da:
Bu dosyada önemli olan şey tek bir ekran görüntüsü değil.
Güçlü taraf şu:
aynı isimlere doğru kesişiyor.
Bu kesişim, Badbox 2.0’un arkasında kimler olduğuna dair daha net bir resim sunuyor.
Eğer evde “sertifikasız” Android TV box kullanıyorsan:
Bu haber : spyhackerz.org adına yazılmıştır, İzinsiz kaynak göstermeden lütfen yayınlamayın.
Ne Oldu?
Kimwolf adlı botnet’i yöneten saldırganlar (2+ milyon enfekte cihaz), yakın zamanda Badbox 2.0’ın kontrol paneline girdiklerini iddia eden bir panel ekran görüntüsü paylaştı. Badbox 2.0 ise özellikle sertifikasız Android TV kutularına (Android TV box) önceden yüklenmiş zararlı yazılım ile yayılan, büyük ölçekli bir botnet altyapısı.
Bu iddia, iki nedenle kritik:
- FBI ve Google, Badbox 2.0’un arkasındakileri aradıklarını açıkça söylüyor.
- Kimwolf’un “övünerek” paylaştığı panel görüntüsü, Badbox tarafında kullanıcı hesapları ve e-posta izleri barındırıyor.
Panel Ekran Görüntüsü Ne Gösteriyor?
Ekran görüntüsünde Badbox 2.0 kontrol panelinde yetkili kullanıcılar ve e-posta adresleri listeleniyor. Toplam 7 kullanıcı görülüyor. Burada dikkat çeken detay: Diğer kullanıcılar belirli bir şablona yakınken, “ABCD” adlı hesap “aykırı” duruyor.
Kaynaklara göre:
- Panelde oturum açmış görünen ABCD hesabı, Kimwolf yöneticilerinden “Dort” ile ilişkilendiriliyor.
- Bu, “Dort”un Badbox paneline yetkisiz şekilde kullanıcı eklemiş olabileceği ihtimalini güçlendiriyor.
Bu noktada iki senaryo var:
- Senaryo A: Kimwolf tarafı gerçekten Badbox paneline sızdı.
- Senaryo B: Panel görüntüsü manipüle edildi.
Araştırmanın kilidi, tam burada başlıyor:
Paneldeki e-postalar ve domain geçmişleri gerçek hayatta iz bırakıyor mu?
“Chen” Kullanıcısı ve İlk Pivot: [email protected]
Panelde “Chen” kullanıcısına karşılık gelen e-posta: [email protected]
Bu e-posta, açık kaynak aramalarında Çin merkezli birden fazla teknoloji şirketinin irtibat adresi olarak görünüyor. Bu şirketler içinde özellikle iki alan adı dikkat çekiyor:
- asmeisvip[.]net
- moyix[.]com
Çünkü bu domainler, daha önce yayımlanan tehdit raporlarında Badbox 2.0 altyapısı ile ilişkilendirilen alan adları arasında yer alıyor.
Buradaki kritik mantık şu:
Credential Reuse: Aynı Şifreyle Başka Hesaplara Ulaşmak
OSINT’in en güçlü tarafı bazen “hack” değil, insan hatasıdır.
Breach/credential izleme kaynaklarında, [email protected] hesabının bir dönem “cdh76111” benzeri bir şifre kullandığı bilgisi çıkıyor.
Bu şifre pivot edildiğinde, aynı şifreyi kullanan başka e-posta hesapları ortaya çıkıyor. Bunlardan öne çıkanlardan biri:
Bu tarz “şifre tekrar kullanımı” (credential reuse), özellikle attribution çalışmalarında çok değerlidir; çünkü farklı platformlardaki kimlik parçalarını birbirine bağlar.
“cathead” İzleri ve Astrolink Bağlantısı
“cathead” kimliği, başka pivotlarla bir noktaya daha bağlanıyor:
- astrolink[.]cn
- cathead@astrolink[.]cn
Archive (web arşiv) kayıtlarında astrolink[.]cn sitesinin “Contact Us” bölümünde:
- Chen Daihai (Teknoloji departmanı)
- E-posta: cathead@astrolink[.]cn
ve aynı sayfada:
- Zhu Zhiyu (satış/iş ortaklıkları)
- E-posta: xavier@astrolink[.]cn
görünüyor.
Bu sayfa, Badbox panelindeki kullanıcılarla kritik şekilde eşleşiyor çünkü panelde:
- “Mr.Zhu” benzeri bir kullanıcı adına karşılık gelen [email protected] görülüyor.
Bu, “paneldeki e-posta → şirketin resmi iletişim sayfasındaki e-posta” eşleşmesine benzer şekilde attribution’i kuvvetlendiren bir çapraz kanıt oluşturuyor.
“admin” Hesabı ve Huang Guilin İzi
Paneldeki ilk kullanıcı “admin” hesabı ve e-posta:
Bu adres, domain kayıtları ve OSINT pivotlarıyla:
- Huang Guilin ismine giden bir zincir oluşturuyor.
Burada önemli olan şu:
Neden Bu “Panel Erişimi” Çok Büyük Bir Tehdit?
Kimwolf’un yayılma modeli bir süre “residential proxy açıkları” üzerinden yürüyordu. Bu açıklar kapatıldıkça Kimwolf’un büyümesi zorlaşacaktı.
Ama eğer Kimwolf yöneticileri gerçekten Badbox paneline eriştiyse:
- proxy açıklarına ihtiyaç kalmadan,
- Badbox ekosistemindeki TV box’lara
zararlıyı doğrudan yükleyebilirler.
Bu da:
- daha hızlı yayılım,
- daha büyük botnet,
- daha yüksek gelir (reklam sahtekârlığı / proxy kiralama)
demektir.
Sonuç: “Tek Kanıt” Değil, “Kesişen Kanıtlar”
Bu dosyada önemli olan şey tek bir ekran görüntüsü değil.
Güçlü taraf şu:
- Paneldeki e-postalar
- Domain geçmişleri
- Arşivlenmiş şirket sayfaları
- Şifre tekrar kullanımı
- İsim ve telefon pivotları
aynı isimlere doğru kesişiyor.
Bu kesişim, Badbox 2.0’un arkasında kimler olduğuna dair daha net bir resim sunuyor.
🔐 Okuyucu İçin Pratik Uyarı (Kısa)
Eğer evde “sertifikasız” Android TV box kullanıyorsan:
- güncelleme almıyorsa risk büyüktür,
- ayrı bir Wi-Fi ağına almak mantıklıdır,
- mümkünse sertifikalı (güncelleme alan) cihazlara geçmek gerekir.
Bu haber : spyhackerz.org adına yazılmıştır, İzinsiz kaynak göstermeden lütfen yayınlamayın.
