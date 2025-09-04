Google çöktü operasyon ortaya çıktı! 3 yıllık siber saldırı: Savunma ve medya şirketlerini klonlayıp yasa dışı porno ve bahis sitelerine yönlendirdiler
Google’da sabah saatlerinden bu yana dünya çapında yaşanan erişim sorununun ardından akıllara siber saldırı gelmişti. Cyber Security News’te yayımlanan bir haber dikkat çekti. Google Cloud ve Cloudflare altyapısında üç yıldan uzun süredir tespit edilemeyen kimlik ağı operasyonu yürütüldüğü ortaya çıktı. Savunma sanayii şirketleri ve medya dahil yüzlerce markanın klonlandığı ve Google aracılığıyla yasa dışı sitelere yönlendirme yapıldığı tespit edilirken Google’a erişimin de eş zamanlı olarak kesilmesi dikkat çekti. Özellikle haber sitelerinin etkilendiği saldırılar devam ederken Google ise etkili önlemler almak yerine web sitelerini suçluyor. İşte üç yıldır tespit edilemeyen kimlik ağı operasyonunun detayları…
ABD merkezli arama motoru Google'da sabah saatlerinden bu yana erişim sorunu yaşanıyor. Dünya çapında pek çok ülkede sorun yaşandığı bilinirken Google'dan herhangi bir açıklama gelmedi. Google'a yönelik siber saldırı iddiaları artarken Google Cloud ve Cloudflare altyapısında üç yıldan uzun süredir tespit edilemeyen kimlik ağı operasyonu yürütüldüğü ortaya çıktı.
Google'a erişim sorunu, Ekran Görüntüsü
GOOGLE'A ÜÇ YILLIK SİBER SALDIRI
Cyber Security News'in haberine göre Google Cloud ve Cloudflare altyapısında üç yıldan uzun süredir tespit edilemeyen karmaşık bir kimlik avı operasyonu yürütülüyor ve aralarında ABD savunma sanayi şirketi Lockheed Martin'in de bulunduğu büyük şirketler taklit ediliyor.
Google'a erişim sorunu, DHA
ERİŞİMİ GOOGLE MI KESTİ?
Gelişmiş gizleme tekniklerinin kullanıldığı ve süresi dolmuş alan adlarının ele geçirildiği operasyon Google'ın kullanıcı güvenliği konusundaki skandalını gözler önüne serdi. Söz konusu haberde Google'a yönelik erişim sorunundan bahsedilmedi fakat veri hırsızlığının ardından Google'ın erişimi kestiğine yönelik iddiayı destekliyor.
Google'a erişim sorunu, AA
ŞİRKETLERİN WEB SİTELERİNİ KLONLADILAR
Haberde belirtilene göre siber operasyon, saldırganların daha önce meşru kuruluşlara ait olan süresi dolmuş alan adlarını ele geçirmesiyle başladı ve ardından Fortune 500 şirketlerinin klonlanmış web sitelerini konuşlandırdı.
Plan, özellikle yerleşik itibara sahip ve aktif sosyal medya topluluklarına sahip yüksek değerli alan adlarını hedef alarak taklitleri şüphelenmeyen kullanıcılar için daha ikna edici hale getirdi.
ABD Savunma Sanayii Şirketi Lockheed Martin, Takvim.com.tr Ekran Görüntüsü
ABD SAVUNMA SANAYİ ŞİRKETİ DE LİSTEDE
Dikkat çeken vakalardan biri, başlangıçta askeri uçaklarla ilgili içeriklere ev sahipliği yapan ancak aynı zamanda Lockheed Martin'in kurumsal web sitesinin mükemmel bir kopyası olarak hizmet veren bir kumar sitesine dönüştürülen militaryfighterjet.com alan adıyla ilgiliydi.
Saldırganlar, ziyaretçinin kullanıcı aracısına ve coğrafi konumuna göre farklı içerikler sunan karmaşık gizleme teknolojisi kullandı.
Google, AFP
KLON SİTELERLE YASA DIŞI SİTELERE YÖNLENDİRME
Arama motoru tarayıcıları veya Google arama sonuçları aracılığıyla erişildiğinde, kullanıcılar kurumsal web sitelerinin meşru görünümlü klonlarını gördüler. Ancak tarayıcıdan doğrudan erişim, kumar içeriğini ortaya çıkararak otomatik tespit sistemlerinden kaçan ve gerçek kullanıcılara yasa dışı içerik sunan çift amaçlı bir altyapı oluşturdu.
Deep Specter Research analistleri, militaryfighterjet.com alan adı dönüşümünü araştırırken bu büyük operasyonu tespit etti.
Google, EPA
48 BİN AKTİF SANAL SUNUCU
Yapılan analizler sonucunda altyapının 86 ayrı kümeye ayrılmış 48.000'den fazla aktif sanal sunucudan oluştuğu, bunların çoğunluğunun Hong Kong ve Tayvan'daki Google Cloud platformlarında barındırıldığı ortaya çıktı.
Araştırmacılar, operasyonun 2021 yılına kadar uzanan kanıtlarını keşfettiler ve önemli genişleme dönemlerinin dünya çapında büyük siber güvenlik olayları ve veri ihlalleriyle aynı zamana denk geldiğini belirttiler.
Deep Specter Research analistleri, saldırganların hedef kuruluşların web sitelerinin piksel mükemmelliğinde kopyalarını oluşturmak için meşru bir web kazıma aracı olan HTTrack Website Copier'ı kullandığını belirtti. Bu aracın kullanıldığına dair kanıtlar, klonlanmış sitelerin HTML yorumlarında, belirli sitelerin ne zaman kopyalandığını gösteren zaman damgaları da dahil olmak üzere gömülü olarak bulundu.
Operasyonun kaynak kod analizi, tespiti özellikle zorlaştıran stratejik uygulama ayrıntılarını ortaya çıkardı. Gizleme sistemi, ziyaretçilerin meşru kullanıcılar, arama motoru robotları veya güvenlik araştırmacıları olup olmadığını belirlemek için HTTP başlıklarını, kullanıcı aracısı dizelerini ve IP coğrafi konum verilerini inceledi.
Google, EPA
KUMAR İÇERİKLERİ MOTORDA ÜST SIRALARDA
Bu seçici içerik dağıtımı, kötü niyetli sitelerin hedeflenen demografik gruplara kumar içeriği ve potansiyel kötü amaçlı yazılımlar sunarken arama motoru sıralamalarında üst sıralarda yer almalarını sağladı.
200'DEN FAZLA KLONLANMIŞ MARKA
Siber saldırı altyapısı askeri, sağlık ve imalat sektörleri de dahil olmak üzere birçok sektörde 200'den fazla klonlanmış markayı elinde tuttu. Saldırganlar, güvenlik filtrelerini atlatmak ve tehlikeye atılmış alan adlarından oluşan geniş ağlarında kalıcılığı sürdürmek için Google Cloud ve Cloudflare altyapısının güvenilir yapısından stratejik olarak yararlandı.
Google'a erişim sorunu, AA
GOOGLE NEDEN HABER SİTELERİNİ SUÇLUYOR?
Google ile ilgili güvenlik açıkları yıllardır gündemde. Öyle ki Google anahtar kelime aramalarının ele geçirildiğine ve kötü amaçlı sitelere yönlendirme yapıldığına dair haberler daha 2010'lu yıllarda patlak vermişti. Highjacking adı verilen siber saldırılarda milyonlarca web sitesinin kullanıcıları yasa dışı bahis ve porno gibi üçüncü sınıf sitelere yönlendiriliyor. Özellikle haber sitelerinin etkilendiği saldırılar devam ederken Google ise etkili önlemler almak şöyle dursun web sitelerini suçluyor.