Altyapı Ne Zaman Tehdit Haline Dönüşür: Stark Industries'in Çöküşü

Son yıllarda yaşanan siber suç davaları bize önemli bir dersi öğretti: yeni bir isim almak işletmeyi yeniden icat etmek anlamına gelmez. Hollanda'nın mali suçlarla mücadele kurumu FIOD, 22 Mayıs 2026'da gerçekleştirdiği operasyonla, güvenlik camiası tarafından çok iyi bilinen bir yapıyı deşifre etti. Stark Industries Solutions Ltd., aslında kimin sahibi olduğunu gizlemek için kurulmuş, yasadışı içeriği barındırmak amacıyla tasarlanmış sağlam bir hosting işletmesinin cephesinden başka bir şey değildi.

Bu olayın hosting ve domain sektörü için öğretici olması, suçluların kimliklerini ne kadar titizlikle gizlemeye çalıştığını ve uygun denetim uygulandığında bu maskenin ne hızlı düştüğünü göstermesidir.

Ön Cephe Şirketi Nasıl Kuruldu?

Stark Industries Solutions Ltd., 10 Şubat 2022'de tescil edildi. Tarihin kendisi zaten şüpheli: kurulması Rusya'nın Ukrayna'ya saldırmasından sadece 14 gün öncesiydi. Şirketin resmi amacı oldukça açık bir yalandı: yeniden satıcılara "tarafsız" bir isim sağlamak, böylece IP adresleri önceki bir girişim olan PQ Hosting'e bağlanamayacaktı.

İvan ve İuri Neculiti kardeşler Transnistria'dan (Moldavya'nın Rusya yanlısı bağımsız bölgesi) bu işletmeyi kurdu. Ama işin temeli daha eskilere gidiyordu. En az 2008'den bu yana devam eden siber suç altyapısının en son versiyonuydu bu. İvan "dfyz" ve benzeri kullanıcı adlarıyla Rus siber suç forumlarında dolaşıyor, "bulletproof server" dediğimiz—yani yasadışı içeriği minimum sorumluluğla barındırması için tasarlanmış—sunucuları satıyordu.

Teknik açıdan bakınca işin ilginç tarafı burada başlıyor. Neculiti kardeşler yeni sunucular kiralamakla yetinmediler. PQ Hosting üzerine inşa edilmiş mevcut altyapıyı kullandılar. Bu altyapı en yüksek zamanlarında 38 ülkede 120 binin üzerinde müşteriye hizmet veriyordu. Stark Industries ise bir yeniden satış katmanı olarak çalıştı—gerçek sahipliği gizleyen ama aynı fiziksel sunucuları kullanan bir ara şirket.

İki ASN'nin İhanetı

İşte bu olaydan çıkarılması gereken siber güvenlik dersi: Dijital kanıtlar yalan söylemez, şirketler söylese de.

AB, Mayıs 2025'te Stark Industries'i yaptırıma tabi tuttuğunda, kardeşler akıllı bir hamle yaptıklarını sanarak operasyonlarını WorkTitans B.V. adlı yeni bir Hollanda şirketine taşıdı. "THE.Hosting" markasını kullanıyorlardı. Yeni şirket, yeni website, yeni kimlik.

Ama hesaba katmadıkları bir şey vardı: JA4T parmak izi belirleme. Güvenlik araştırmacılarının ağ trafiği desenlerini ve donanım imzalarını farklı otonom sistemler arasında tanımlamak için kullandığı yöntem. Araştırmacılar, hem eski Stark ASN'si hem de yeni WorkTitans ASN'sinin JA4T parmak izlerini karşılaştırarak aynı fiziksel sunucularla ilgilendiğini doğruladı. Yeniden markalaştırma sadece kağıt üzerinde bir egzersizdi. Donanım aynıydı. Altyapı hiç değişmemişti.

Bu, meşru her hosting sağlayıcısının anlaması gereken kritik bir başarısızlık noktası: ağ seviyesi adli tıp ve SSL/TLS parmak izi belirleme çağında, altyapıyı gizlemek yeni bir şirket kaydından fazlasını gerektiriyor. Gerçek bir altyapı göçü gerekiyor. Bu operatörler bunu hiç denemediler ya da yapmaya istekli değillerdi.

Bu Sunucuların Üstünde Tam Olarak Ne Çalışıyordu?

İçine alınan 800 sunucu meşru web sitelerini barındırmıyordu. Kanaat ve güvenlik araştırmacıları, Stark Industries altyapısının şunları desteklemek için kullanıldığını belgeledi:

• NoName057(16): Rusya yanlısı DDoS operasyonları
• Sandworm: Rus Genel Kurmay Başkanlığı'nın siber birimi
• Callisto Group (SEABORGIUM): Rus istihbaratıyla bağlantılı
• FIN7: Mali kurumları hedef alan en üretken siber suç gruplarından biri
• Doppelgänger Kampanyası: Avrupa'ya Rusya yanlısı sahte haberler yaymaya yönelik sofistike bir dezenformasyon operasyonu

Doppelgänger keşfi özellikle dikkat çekici. CORRECTIV'in 2024 araştırması, kardeşlerin Hollanda'daki altyapısının, devlet destekli bir dezenformasyon kampanyasının teknik omurgasını doğrudan barındırdığını dokumente etti. Bu sadece suçlu hosting değildi—Avrupa vatandaşlarına karşı bilgi savaşını destekleyen altyapıydı.

Herşeyi Değiştiren Yasal Emsal

Hollanda Yaptırımlar Yasası kapsamında yapılan tutuklamalar ve suçlamalar önemli bir emsal oluşturdu: yaptırıma tabi kuruluşlara altyapı sağlamak artık idari gri alan değil, ceza suçu olarak görülüyor.

İki kişi tutuklandı: 57 yaşındaki bir şirket müdürü ve 39 yaşındaki internet bağlantı operasyonlarını yöneten birisi. Mirhosting'le ilgili üçüncü bir tutuklama, Hollanda savcılarının altyapı sağlamayı pasif bir hosting hizmeti değil, doğrudan suçluluk olarak gördüğünü gösterdi.

Bu ayrım, meşru hosting sektörü için inanılmaz derecede önemli. Müşteri kimliği ve kullanım amacı hakkında titiz araştırma yapmanın artık isteğe bağlı olmadığı anlamına geliyor. "Müşterini Tanı" (KYC) ve yaptırım listesi taraması, bürokratik yük değil, meşru sağlayıcıları suç ağlarından ayıran temel güvenlik pratikleri.

Bu Durum Hosting İşletmeniz İçin Ne Anlama Geliyor?

Bir hosting şirketi, domain sicili ya da bulut platformu işletiyorsanız, Stark Industries vakası size üç önemli ders sunuyor:

1. Teknik sofistikasyon yasal uyumun yerini tutamaz. Neculiti kardeşler düzinelerce ülkede yayılmış, altı haneli müşteri tabanına sahip bir ağ işletiyordu. DNS, IP tahsisi ve ASN yönetimini iyi biliyorlardı. Bunların hiçbiri onları modern adli tıp teknikleriyle donanmış kolluk kuvvetlerinden korumadı.

2. Altyapı göçü olmadan yeniden markalaştırma işe yaramaz. Şirket adlarını, kayıt defterlerini ya da faturalandırma varlıklarını değiştirmek sunucularınızın fiziksel gerçeğini değiştirmez. Ağ seviyesi adli tıp, aynı donanımı farklı ASN'ler ve şirketler arasında tanıyabilir. Ciddi her operatör bunu anlar, bu yüzden meşru sağlayıcılar böyle hılelere girişmez.

3. Yetki ve sorumluluk alanı daralmakta, kurallar sıkılaşmakta. Hollanda, bulletproof hosting'e karşı düşmanca bir tutum benimsedi. AB sınırları içinde altyapı işletiyorsanız, düzenleyici incelemeye hazırlı olun. Meşru hizmetler işletiyorsanız, bu haberi hoşnut olarak karşılamalısınız.

Daha Geniş Perspektif

Bu olayın siber güvenlik açısından ilginç olan tarafı, birden fazla araştırma disiplininin birleşimini göstermesidir: mali suçlarla mücadele, ağ adli tıbbı, açık kaynak istihbaratı ve geleneksel polis çalışması. Operasyon şans eseri değildi. AB yaptırımı kararının ardından yapılan bir yıllık gözetim operasyonunun sonuydu.

Bu birleşim, uluslararası siber suç takibatında standart haline geliyor. Bulletproof hosting sağlayıcıları, bir hukuk oyunu oynadıklarını sanıyorlar—bir ülkedeki kolluk kuvvetinin başka bir ülkede çalışan onları tutamayacağını düşünüyorlar. Stark Industries davası bu varsayımın giderek eski kaldığını kanıtlıyor.

İçine alınan 800 sunucu, suçlu altyapısının olası değeri yüz milyonlarca dolar tutarındaydı. Daha da önemlisi, milyonlarca Avrupalıyı dezenformasyon, siber saldırılar ve mali dolandırıcılık yoluyla etkileyen operasyonların teknik omurgasını temsil ediyordu.

Meşru hosting endüstrisi için bu dava aslında iyi bir haberdir. Bulletproof operatörler hakkında her başarılı dava, suçlulara hosting ortağı bulmayı zorlaştırır. Her ele geçirilen sunucu, kötü amaçlı aktörlere kiralanabilecek bir sunucudur daha az. Ve yaptırım uygulamasını güçlendiren her yasal emsal, suçluların işletme maliyetini artırır—bu maliyet de müşterilerine yansır.

Sonuç olarak, Stark Industries'i birçok ön cephe şirketi öncesinde öğrendiği dersi öğrendi: adli tıp kanıtlarından yeniden markalaştırmayla kurtarulamaz. Sunucular ne barındırdıklarını unutmazlar, çağdaş dijital adli tıp da onları unutturmaz.