150'den Fazla Sahte Mozilla Eklentisi — Tek Arka Uç ve Ücretli Reklam Kanalları
Medya, 150’den fazla sahte Mozilla eklentisinin sorumlusu olarak “Rus ayıları”nı gösterdi. Bulgularımız, Nijeryalı bir altyapıyı (IP 185.208.156.66), yeniden kullanılan kimlik avı kitlerini ve ücretli makalelerin bu efsanenin yayılmasına nasıl katkıda bulunduğunu ortaya koyuyor.
Yanıltıcı Anlatı
Şu konuyla ilgili bir hikâye: "150'den fazla sahte Mozilla eklentisi" Sözde “Rus izi”yle bağlantılı olduğu iddia edilen haber, önde gelen kripto ve güvenlik yayın organlarında geniş yer buldu. Kulağa dramatik gelse de, analizimiz bu anlatının yanıltıcı olduğunu gösteriyor — ve daha da kötüsü, gerçek failleri korur.
Tek Bir Arka Uçta 150'den Fazla Düşük Kaliteli Eklenti
Bu kampanyadaki tüm uzantılar şunlardı:
- Özgün değil, kopyala-yapıştır kalitesinde.
- Sadece logolar ve isimler farklıydı.
- Hepsi bir tek arka uç.
185.208.156.66Arka uç etki alanı şuydu:
alladdsite[.]digital/app.php. Bu IP adresine bağlı alan adlarının çoğu artık aktif değil, ancak arşivler Urlscan ve WebArchive aracılığıyla anlık görüntüleri saklamıştır. Bu Kampanyaya Karşı Aldığımız Önlemler
Oltalama ve dolandırıcılık altyapılarının kaldırmaları konusunda uzmanlaşmış bağımsız bir tehdit istihbarat grubu olarak, biz:
- Kötü amaçlı uzantıları bildirmek üzere raporları doğrudan Mozilla’ya ilettik.
- Şu birime iletildi: Mühür, yasağın yürürlüğe girmesini hızlandırmak amacıyla profesyonel yardım talep ederek.
- Topluluğun bilgilendirilmesi amacıyla Chainabuse hakkında bir rapor yayınlandı.
- Çalınan verileri bozmak amacıyla saldırganların arka ucuna milyonlarca boş tohum cümlesi enjekte etti.
Neden Bu "Rus" Altyapısı Değil?
Rusça konuşan siber tehdit aktörleri genellikle şunları kullanır:
- Dağıtık arka uçlar (Cloudflare Workers, Firebase, Amazon, her kampanyaya özel bağlantılar).
- Tek bir arıza noktasının oluşmasını önlemek için kod karmaşıklığı ve yedeklilik.
Bunun yerine, bu kampanya şunu gösterdi:
- A Nijeryalı barındırma hizmeti sağlayıcısı.
- Banka dolandırıcılıkları, sahte kripto cüzdanları ve sahte teslimat dolandırıcılıklarıyla bağlantılı komşu alan adları.
- Bir Telegram hesabı, bir [...]. ile bağlantılı çalınmış verileri almaktadır. Nijeryalı operatör.
Ücretli Medya Sorunu
Ücretli medya reklamları ciddi sonuçlar doğurur:
- Saygın bir yayında ücretli bir makale yayınlandı.
- Yüzlerce küçük web sitesi, blog ve Telegram kanalı bu içeriği yeniden yazıyor ya da çeviriyor.
- Birkaç gün içinde, bu olay, inandırıcılık yanılsaması yaratan devasa bir sahte anlatıya dönüşür.
Örnek: Angel Drainer
Tüm büyük haber kaynakları şu konuyla ilgili manşetler attı: "Geliştiriciler tespit edildikten sonra Angel Drainer kapatıldı." Peki bu doğru muydu — yoksa sadece inandırıcı görünene kadar tekrarlanan bir başka ücretli reklam mıydı? Suçlular için makale satın almak cep harçlığı kadar bir şey; kurbanlar içinse her şeyi değiştiriyor.
Kendi Halkla İlişkiler Hizmetlerini Satın Alan Siber Güvenlik Şirketleri
Siber güvenlik şirketleri, kendileri, araştırmaları ve etkileriyle ilgili makaleler için on binlerce dolar ödüyor. Bu durum, temel bazı soruları gündeme getiriyor:
- Gerçek bir siber güvenlik ekibi neden sigorta primi ödemek zorunda kalır?
- Gerçek hackerın izlerini örtbas etmeye mi çalışıyorlar?
- Ya da şantaj yapmak ya da rekabet avantajı elde etmek için hackerın kimliğini kullanabilir mi?
- Bunun amacı güveni güçlendirmek mi, yoksa kâr elde etmek için algıyı manipüle etmek mi?
Piyasanın Kanıtı
Bu uygulama gizli değil:
- Fiverr, Upwork ve özel PR platformlarında “konuk yazıları”nı doğrudan satın alabilirsiniz.
- Hizmet sağlayıcılar, tanınmış siber güvenlik markaları da dahil olmak üzere, onlarca satış noktası ve fiyatın yer aldığı Google E-Tablolarını gönderiyor.
- Bazıları şöyle vaat ediyor: "Ek ücret karşılığında sponsorlu etiket yok."
Makale satın almaya yönelik belirtilen hedefler şunlardır:
- Bağlantı Oluşturma (SEO).
- Trafik ve Satış.
- Marka Bilinirliği.
- İtibar Yönetimi (olumsuzlukları ortadan kaldırma).
- Sosyal Doğrulama.
- Vize Başvuruları için Yayın Listeleri.
Bahsedilen maliyetler şunları da içermektedir: $20,000 büyük kripto medya kuruluşlarının ücretli röportaj zaman dilimleri için.
İş Dünyası ve Yalanlar
Ücretli içerik yayınlamak yasa dışı değildir — bu bir iş modelidir. Ancak bu durum, yanlış iddialar yayınlamak, soruşturmaları yanlış yönlendirmek ve halkla ilişkiler faaliyetlerini gerçekmiş gibi göstermek, o zaman sorunun bir parçası haline gelir.
Sonuç
PhishDestroy, herhangi bir ücret almayan, reklam satmayan ve kâr amacı gütmeyen bağımsız bir siber güvenlik girişimidir. Gerçekler ortada:
- 150'den fazla Mozilla eklentisi, Nijerya'daki bir barındırma sunucusundaki tek bir arka uca yönlendirilmiştir.
- Veriler Nijeryalı bir Telegram hesabına gönderildi.
- "Rus izi" anlatısı uydurmadır.
- Ücretli medya haberleri, bu uydurmayı gerçekmiş gibi görünene kadar yaygınlaştırdı.
- Siber güvenlik şirketleri bile kendi reklamları için para ödüyor.
Yasal Uyarı
Hiçbir kişiyi, şirketi veya medya kuruluşunu suçlamıyoruz. Tüm bilgiler açık kaynaklıdır ve kamu arşivleri, taramalar ve raporlar aracılığıyla doğrulanabilir. Asıl soru şudur: Bu tür anlatılar neden kontrol altına alınıp yaygınlaştırılıyor? Tanınmayan bir güvenlik şirketi, dikkatleri asıl sorumlulardan başka yöne çeken, hatalı bir “büyük çaplı araştırma” yayınladığında bundan kim yararlanıyor?



