Siber Saldırılar
0

SSHStalker: IRC Protokolüyle 7.000 Linux Sunucuyu Ele Geçiren Yeni Botnet

SSHStalker: IRC Protokolüyle 7.000 Linux Sunucuyu Ele Geçiren Yeni Botnet
Yazı Özetini Göster

Güvenlik araştırmacıları, Linux sunucularını hedef alan SSHStalker adında yeni bir botnet keşfetti. Modern komuta-kontrol çerçeveleri yerine 1988 yılında icat edilen IRC (Internet Relay Chat) protokolünü tercih eden bu botnet, Ocak 2026’da yaklaşık 7.000 sistemi ele geçirmeyi başardı. Eski okul yöntemlerle yeni kurbanlar bulan SSHStalker, temel siber hijyen eksikliklerinin ne kadar tehlikeli olabileceğini bir kez daha gözler önüne seriyor.

SSHStalker Botnet Nedir?

SSHStalker, zayıf SSH kimlik bilgilerine sahip Linux sunucularını kaba kuvvet saldırılarıyla hedefleyen, ardından ele geçirilen sistemleri IRC tabanlı bir komuta-kontrol ağına dahil eden yeni bir botnet operasyonudur. Tehdit istihbaratı şirketi Flare’in araştırma ekibi tarafından keşfedilen bu botnet, 2026 yılının başından itibaren bir SSH bal küpü (honeypot) üzerinden izlenen saldırı girişimleri sırasında tespit edildi.

Araştırmacılar, saldırı kalıplarını ve zararlı yazılım örneklerini mevcut tehdit istihbaratı veritabanlarıyla karşılaştırdığında herhangi bir eşleşme bulamadı. Bu durum, SSHStalker’ın daha önce belgelenmemiş özgün bir kampanya olduğunu doğruladı. Botnetin en dikkat çekici özelliği ise aktif DDoS saldırıları veya kripto madenciliği gerçekleştirmek yerine, ele geçirilen sistemlerde bekleme modunda kalması. Bu davranış, operatörlerin test aşamasında olduğuna veya erişim biriktirme stratejisi izlediğine işaret ediyor.

IRC: Eski Protokol, Yeni Tehdit

Günümüzde çoğu gelişmiş botnet, şifreli HTTPS bağlantıları veya özel eşler arası (peer-to-peer) ağlar kullanırken SSHStalker’ın IRC’ye yönelmesi bilinçli bir tercih. IRC protokolü; düşük bant genişliği gereksinimi, uygulama basitliği, grafik arayüz ihtiyacının olmaması ve aynı anda binlerce bağlantıyı yönetebilme kapasitesiyle botnet operatörleri için cazip avantajlar sunuyor.

SSHStalker’ın araç setinde 77 farklı IRC botnet dosyası tespit edildi. C tabanlı birden fazla bot varyantı, Perl IRC botu, Tsunami zararlısı ve Keiten zararlısının yanı sıra çoklu sunucu ve kanal yedekliliği ile dayanıklı bir altyapı oluşturulmuş. Bu yaklaşım, modern C2 karmaşıklığı yerine esneklik, ölçeklenebilirlik ve düşük maliyeti ön plana koyuyor.

Saldırı Zinciri Nasıl İşliyor?

SSHStalker’ın enfeksiyon süreci, internete açık SSH sunucularının otomatik taranmasıyla başlıyor. Go dilinde yazılmış ve nmap kılığına girmiş bir tarama aracı, yaygın kullanıcı adı ve parola kombinasyonlarıyla kaba kuvvet saldırısı gerçekleştiriyor. Erişim sağlandıktan sonra ilk adım olarak GCC derleyici araç setinin indirilmesi geliyor; böylece zararlı yükler doğrudan kurban cihazda derlenerek daha iyi taşınabilirlik ve tespitten kaçınma sağlanıyor.

Derlenen ilk yükler, sabit kodlanmış C2 sunucuları ve kanal bilgileri içeren C tabanlı IRC botları. Bu botlar, yeni ele geçirilen sistemi botnetin IRC altyapısına kaydediyor. Ardından GS ve bootbou adlı arşivler indiriliyor; bunlar orkestrasyon ve çalıştırma sıralaması için kullanılan bot varyantlarını barındırıyor. Ele geçirilen sunucular aynı zamanda yeni SSH hedeflerini taramak için de kullanılıyor ve bu durum, solucan benzeri bir yayılım mekanizması oluşturuyor.

Kalıcılık ve Tespit Kaçırma

SSHStalker, kalıcılık için her 60 saniyede bir çalışan cron görevleri kullanıyor. Bu bekçi köpeği (watchdog) mekanizması, ana bot sürecinin çalışıp çalışmadığını kontrol ediyor ve sonlandırılmışsa bir dakika içinde yeniden başlatıyor. Araştırmacılar bu yöntemi “gürültülü ama etkili” olarak nitelendiriyor; savunucular botu durdurabilir ancak bunu kapsamlı bir şekilde yapmaları gerekiyor, aksi halde zararlı 60 saniye içinde geri dönüyor.

Botnetin araç setinde ayrıca 2009 ve 2010 dönemine ait 16 Linux çekirdek yetki yükseltme istismarı ve rootkit düzeyinde araçlar bulunuyor. Bu istismarların 2026’da güncel altyapılar için doğrudan riski düşük olsa da sıfır değil. Flare’in tahminlerine göre internete açık Linux sunucularının yaklaşık yüzde 1-3’ü hala savunmasız durumda; eski barındırma sağlayıcıları, terk edilmiş VPS görüntüleri ve endüstriyel sistemlerde bu oran yüzde 5-10’a çıkabiliyor.

Kimler Etkilendi?

Araştırmacılar, Ocak 2026’da gerçekleştirilen yaklaşık 7.000 bot taramasının sonuçlarını içeren bir dosya tespit etti. Tarama sonuçları ağırlıklı olarak bulut barındırma sağlayıcılarını hedefliyor ve Oracle Cloud altyapısı (AS31898 ve ilişkili ağ aralıkları) belirgin biçimde öne çıkıyor. Etkilenen sistemler ABD, Avrupa ve Asya-Pasifik bölgesine coğrafi olarak yayılmış durumda.

Suzu Labs CEO’su Michael Bell’in ifadesiyle, ele geçirilen 7.000 sistem “kimsenin sahiplenmediği” altyapılardan oluşuyor: terk edilmiş bulut örnekleri, ömrünü tamamlamış çekirdekler üzerindeki eski sunucular ve hiç kimsenin izleme kapsamına almadığı ancak ağa bağlı olan cihazlar. Flare, SSHStalker’ı belirli bir tehdit grubuna atfetmemiş olsa da Outlaw/Maxlas botnet ekosistemiyle benzerlikler ve çeşitli Romanya kaynaklı göstergeler tespit ettiğini belirtiyor.

Nasıl Korunabilirsiniz?

SSHStalker’a karşı korunmanın temel adımları aslında siber güvenliğin en bilinen kurallarıyla örtüşüyor. İlk ve en kritik adım, internete açık tüm SSH sunucularında parola tabanlı kimlik doğrulamayı devre dışı bırakıp SSH anahtar tabanlı doğrulamaya geçmek. Üretim sunucularından derleyici araçlarının (GCC, make) kaldırılması, saldırganların doğrudan cihazda zararlı derleme yapmasını engelliyor.

Ağ düzeyinde çıkış (egress) filtrelemesinin uygulanması ve IRC tarzı giden bağlantılar için uyarı mekanizmaları kurulması öneriliyor. Kısa aralıklarla çalışan ve alışılmadık yollardan tetiklenen cron görevleri ciddi bir kırmızı bayrak olarak değerlendirilmeli. /dev/shm dizininden çalıştırma kısıtlanmalı ve üretim sunucularında beklenmeyen derleyici kurulumu veya çalıştırılması izlenmelidir. fail2ban gibi araçlarla kaba kuvvet saldırılarının otomatik engellenmesi de etkili bir koruma katmanı sunuyor.

Sonuç

SSHStalker, siber güvenlik dünyasında önemli bir gerçeği hatırlatıyor: saldırganların her zaman yeni ve sofistike araçlara ihtiyacı yok. Sectigo Kıdemli Araştırmacısı Jason Soroko’nun belirttiği gibi, sektör yapay zeka ve gelişmiş tehditlere odaklanırken birçok saldırgan, temel güvenlik hijyenindeki boşluklardan faydalanarak “uygun fiyatlı” araçlarla binlerce sistemi ele geçirebiliyor. 1988 tarihli bir protokol, 2009-2010 döneminden istismarlar ve 60 saniyelik cron görevleri; bunların hiçbiri güncel ve doğru yapılandırılmış bir sistemde işe yaramamalı. Ancak 7.000 ele geçirilmiş sunucu, durumun teoriden çok farklı olduğunu kanıtlıyor.

Sıkça Sorulan Sorular

SSHStalker, zayıf SSH kimlik bilgileri kullanan Linux sunucularını kaba kuvvet saldırılarıyla hedefleyen ve ele geçirilen sistemleri IRC protokolü üzerinden yöneten yeni bir botnet operasyonudur. Ocak 2026’da yaklaşık 7.000 sistemi ele geçirdiği tespit edildi.

IRC, düşük bant genişliği gereksinimi, kolay kurulum, binlerce eşzamanlı bağlantı desteği ve düşük maliyetiyle botnet operatörleri için ideal bir protokol. Modern C2 çerçevelerine kıyasla daha az dikkat çekmesi de bir avantaj olarak değerlendiriliyor.

SSH parola kimlik doğrulamayı devre dışı bırakıp anahtar tabanlı doğrulamaya geçin. Üretim sunucularından derleyici araçlarını kaldırın, çıkış filtrelemesi uygulayın ve /dev/shm dizininden çalıştırmayı kısıtlayın. Ayrıca fail2ban ile kaba kuvvet saldırılarını engelleyin.

Ağırlıklı olarak internete açık, zayıf SSH parolaları kullanan ve eski çekirdek sürümleri çalıştıran Linux sunucuları hedefleniyor. Bulut barındırma sağlayıcıları, özellikle Oracle Cloud altyapısı tarama sonuçlarında belirgin şekilde öne çıkıyor.

Şu anda ele geçirilen sistemler IRC kanallarına bağlanıp bekleme modunda kalıyor. DDoS ve kripto madencilik yetenekleri mevcut ancak aktif saldırı gözlemlenmedi. Bu durum test aşaması veya erişim biriktirme stratejisine işaret ediyor.

Etiketler :

BotnetIRCLinux botnetSiber GüvenlikSSH güvenlikSSHStalker

Bir Yorum Yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Benzer Yazılar