Çığır açan lansmanından bir aydan kısa bir süre sonra, Çin yapay zeka şirketi Deepseek kendini siber güvenlik fırtınasının merkezinde buldu.
İlk AI modelini piyasaya süren şirket, 20 Ocak 2025’te Deepseek-R1, operasyonları bozan ve yeni kullanıcı kayıtlarını geciktiren şiddetli siber saldırılarla boğuşuyor.
Botnetler Hailbot ve Rapperbot’u içeren bu saldırılar, siber tehditlerin artan sofistike olması konusunda teknoloji endüstrisinde alarmlar verdi.
Deepseek’in meteorik yükselişi
2023’ün sonlarında kurulan Deepseek, Deepseek-R1 modelinin piyasaya sürülmesiyle hızla küresel ilgi gördü. Model, AI performansını Openai’nin chatgpt’iyle karşılaştırılabilir, ancak 6 milyon doların altındaki maliyetin bir kısmında elde etti.
Daha az gelişmiş çiplerden yararlanarak Deepseek, operasyonel maliyetleri rakiplere kıyasla 50 kat azalttı.
Ayrıca, AI açık kaynağını yapma kararı popülerliğini daha da artırdı ve bu da lansmanından sonraki günler içinde milyonlarca uygulama indirmesine neden oldu. Bununla birlikte, bu hızlı başarı da onu siber suçlular için bir hedef haline getirdi.
Siber saldırıların zaman çizelgesi
Deepseek’e yönelik saldırılar Ocak ayı başlarında başladı ve ay sonuna kadar önemli ölçüde arttı. İşte olayların ayrıntılı bir zaman çizelgesi:
27 Ocak: Deepseek, altyapısında “büyük ölçekli kötü niyetli saldırılar” nedeniyle yeni kullanıcı kayıtlarını duraklattığını açıkladı.
28 Ocak: Siber güvenlik firması Wiz.io, Deepseek’e bağlı sızdırılmış bir tıklama evi veritabanı bildirdi. Veritabanı, sohbet geçmişleri ve API anahtarları dahil olmak üzere hassas kullanıcı verileri içeriyordu. Bununla birlikte, bu sızıntı devam eden saldırılarla ilgisiz kabul edildi.
29 Ocak: Global Times Deepseek’in Ocak ayının başından beri düzenli dağıtılmış hizmet reddi (DDOS) saldırılarına dayandığını ortaya koydu. Bu saldırılar yansıma amplifikasyon teknikleri kullanıldı ve HTTP proxy saldırıları ve ABD tabanlı IP adreslerinden kaynaklanan kaba kuvvet girişimleri eşlik etti.
30 Ocak: XLab’ın bir raporu, iki Mirai Botnet varyantının Hailbot ve Rapperbot’un en son saldırı dalgasının arkasında olduğunu açıkladı. Bu botnets, 16 komut ve kontrol (C2) sunucusu ve 100’den fazla C2 bağlantı noktası kullanarak koordineli saldırılar başlattı.
Saldırıların arkasındaki botnetler
Any.Run raporuna göre, Deepseek’in operasyonlarını ortadan kaldırmaktan sorumlu iki botnet, ünlü Mirai Botnet’in sofistike varyantlarıdır:
Dolu
Hailbot, bazı Huawei cihazlarında CVE-2017-17215 gibi DDOS saldırılarında uzmanlaşmıştır ve güvenlik açıklarından yararlanır. Çok çeşitli cihazlardan ödün vererek Hailbot, büyük ölçekli hizmet reddi saldırıları başlatabilir.
Herhangi birini kullanarak analiz. Hailbot’un algılanabilir ağ trafik modelleri aracılığıyla C2 sunucusuyla bağlantı kurduğunu ortaya koydu.
Submit suspicious files and URLs to ANY.RUN for proactive analysis of threats targeting your company
Rapçibot
Rapperbot, SSH Brute-Force saldırılarına yayılır ve “SSH-2.0-Hellowld” dizesi ile tanımlanır. Bir cihazı tehlikeye attığında, SSH anahtarlarını değiştirerek ve “Suhelper” adlı bir süper kullanıcı hesabı oluşturarak kalıcı erişim sağlar.
Ek olarak, rapperbot, XMRIG Monero Madencisi aracılığıyla kriptajlama özelliklerini içerir ve enfekte cihazlarda kripto para maden maddesi yapmasını sağlar.
Sandbox analizi gösterildi Bu rapperbot, üç dakika içinde yaklaşık 140.000 ağ bağlantısı denemesi üretti ve yıkıcı potansiyelini vurguladı.
Deepseek’teki siber saldırılar, dijital altyapıya bağımlı şirketlerin karşılaştığı güvenlik açıklarını açık bir hatırlatma görevi görüyor.
Hailbot ve rapperbot gibi botnetler hizmet olarak mevcuttur, sınırlı teknik uzmanlığa sahip saldırganlar bile yıkıcı saldırı başlatabilir.
Deepseek gibi AI güdümlü işletmeler için bu tür aksamalar hizmet kesintilerine, veri ihlallerine ve müşteri güveninin erozyonuna yol açabilir.
Deepseek’in çilesi, hızlı teknolojik ilerlemenin hem vaadini hem de tehlikesini vurgular. Yenilikçi AI modeli endüstriyi bozsa da, başarısını zayıflatabilecek sofistike siber tehditler de çekti.
Siber güvenlik uzmanları bu olayları daha da analiz ettikçe, dünya çapında kuruluşlar gelişen tehditlere karşı uyanık kalmalıdır.
Her Any.Run’un etkileşimli sanal alanının, Hailbot ve RapperBot gibi kötü amaçlı yazılımları tanımlamada ve analiz etmede paha biçilmez olduğu kanıtlanmıştır. Bu tür teknolojilerden yararlanarak, şirketler dijital ekosistemlerini gelecekte benzer saldırılardan daha iyi koruyabilirler.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day free trial