Evren Tarayıcı potansiyel kullanıcılarına bazı büyük sözler veriyor. Çevrimiçi reklamlarında, onun “en hızlı tarayıcı” olduğu, onu kullanan kişilerin “gizlilik sızıntılarını önleyeceği” ve yazılımın “sizi tehlikeden uzak tutmaya” yardımcı olacağı iddia ediliyor. Ancak muhtemelen her şey göründüğü gibi değildir.
Çin çevrimiçi kumar web sitelerine bağlı olan ve milyonlarca kez indirildiği düşünülen tarayıcı, ağ güvenliği şirketi Infoblox’un yeni bulgularına göre aslında tüm internet trafiğini Çin’deki sunucular üzerinden yönlendiriyor ve “arka planda sessizce çalışan birkaç programı gizlice yüklüyor”. Araştırmacılar, “gizli” öğelerin kötü amaçlı yazılımlara benzer özellikler içerdiğini söylüyor; bunlar arasında “anahtar kaydı, gizli bağlantılar” ve cihazın ağ bağlantılarının değiştirilmesi yer alıyor.
Belki de en önemlisi, bu çalışmada Birleşmiş Milletler Uyuşturucu ve Suç Ofisi (UNODC) ile işbirliği yapan Infoblox araştırmacıları, tarayıcının operasyonu ile kara para aklama, yasa dışı çevrimiçi kumar, insan kaçakçılığı ve zorla çalıştırmayı kullanan dolandırıcılık operasyonlarıyla bağlantıları olan Güneydoğu Asya’nın genişleyen, milyarlarca dolarlık siber suç ekosistemi arasında bağlantılar buldu. Araştırmacılar, tarayıcının kendisinin, araştırmacıların Vault Viper adını verdikleri bir tehdit grubu olarak etiketledikleri büyük çevrimiçi kumar şirketi BBIN çevresindeki bir ağa doğrudan bağlı olduğunu söylüyor.
Araştırmacılar, tarayıcının keşfedilmesinin ve şüpheli ve riskli davranışının, bölgedeki suçluların giderek daha karmaşık hale geldiğini gösterdiğini söylüyor. Infoblox’ta kıdemli bir tehdit araştırmacısı olan ve aynı zamanda UNODC’de personel olarak görev yaptığı sırada projede de çalışmış olan John Wojcik, “Bu suç grupları, özellikle de Çin’deki organize suç örgütleri giderek çeşitleniyor ve siber destekli dolandırıcılık, domuz kesimi, kimliğe bürünme, dolandırıcılık ve tüm ekosisteme dönüşüyor” diyor.
Wojcik, “İki katına çıkmaya, karlarını yeniden yatırıma yatırmaya, yeni yetenekler geliştirmeye devam edecekler” diyor. “Tehdit nihayetinde daha ciddi ve endişe verici hale geliyor ve bu da bunu gördüğümüz yerlerin bir örneği.”
Kaputun Altında
Evren Tarayıcısı ilk kez Infoblox ve UNODC tarafından bu yılın başında, daha önce kolluk kuvvetleri tarafından basılan Kamboçya merkezli bir çevrimiçi kumarhane operasyonu etrafındaki dijital sistemleri açmaya başladıklarında fark edildi ve adıyla anıldı. Etki alanı adı sistemi (DNS) yönetimi ve güvenliği konusunda uzmanlaşmış Infoblox, Vault Viper’a bağladıkları sistemlerden benzersiz bir DNS parmak izi tespit ederek araştırmacıların gruba bağlı web sitelerini ve altyapıyı izlemesini ve haritalandırmasını mümkün kıldı.
Infoblox araştırmacıları, WIRED ile paylaşılan bir raporda, on binlerce web alanının yanı sıra çeşitli komuta ve kontrol altyapısı ve kayıtlı şirketlerin Vault Viper etkinliğiyle bağlantılı olduğunu söylüyor. Ayrıca yüzlerce sayfalık kurumsal belgeleri, yasal kayıtları ve BBIN veya diğer yan kuruluşlarla bağlantıları olan mahkeme dosyalarını da incelediklerini söylüyorlar. Tekrar tekrar çevrimiçi olarak Evren Tarayıcıyla karşılaştılar.
Infoblox’ta tehdit araştırmacısı olan Maël Le Touz, “Evren Tarayıcısının Vault Viper’ın kontrol ettiği alanların dışında reklamının yapıldığını görmedik” diyor. Infoblox raporu, tarayıcının “özellikle” çevrimiçi kumarın büyük ölçüde yasa dışı olduğu Asya’daki insanların kısıtlamaları aşmasına yardımcı olmak için tasarlandığını söylüyor. Le Touz, “İşlettikleri kumarhane web sitelerinin her biri, bir bağlantı ve reklam içeriyor gibi görünüyor” diyor.