Google’ın Tehdit Analiz Grubu’nun (TAG) 2023’te keşfettiği ve dünya çapındaki cihazları gözetlemek için kullanılan sıfır gün güvenlik açıklarının %80’inin arkasında ticari casus yazılım satıcıları (CSV) vardı.
Sıfır gün güvenlik açıkları, etkilenen yazılım satıcılarının bilmediği veya düzeltmesi bulunmayan güvenlik kusurlarıdır.
Google’ın TAG’ı, istismar girişimlerini tespit etmek, ürünlerinin kullanıcılarını korumak ve önemli bulguları uygun taraflara bildirerek daha geniş bir topluluğun korunmasına yardımcı olmak için 40 ticari casus yazılım satıcısının faaliyetlerini takip ediyor.
Bu izlemeye dayanarak Google, son on yılda ürünlerini etkileyen bilinen 72 sıfır gün açıklarından 35’inin casus yazılım satıcılarıyla ilişkilendirilebileceğini buldu.
“Bu, yalnızca bilinen 0 günlük istismarları yansıttığı için bir alt sınır tahminidir. Google ürünlerini hedef alan CSV’ler tarafından geliştirilen 0 günlük istismarların gerçek sayısı, CSV’ler tarafından kullanılan ve Google tarafından tespit edilmemiş istismarlar hesaba katıldığında neredeyse kesin olarak daha yüksektir. araştırmacılar, ilişkilendirmenin bilinmediği istismarlar ve araştırmacılar vahşi doğada istismar belirtileri keşfetmeden önce bir güvenlik açığının yamandığı durumlar.” – Google
Bu casus yazılım satıcıları, hükümetler ve özel kuruluşlar da dahil olmak üzere müşterilerinin yönlendirmesi doğrultusunda gazetecileri, aktivistleri ve siyasi figürleri hedef almak için sıfır gün kusurlarını kullanıyor.
Google’ın raporunda vurgulanan bazı önemli CSV’ler şunlardır:
- Cy4Gate Ve RCS Laboratuvarı: Android ve iOS için “Epeius” ve “Hermit” casus yazılımlarıyla tanınan İtalyan firmaları. İlki, ikincisini 2022’de satın aldı ancak bağımsız olarak faaliyet gösteriyor.
- Intellexa: 2019’dan beri Tal Dilian liderliğindeki casus yazılım firmaları ittifakı. Cytrox’un “Predator” casus yazılımı ve WiSpear’ın WiFi müdahale araçları gibi teknolojileri birleştirerek entegre casusluk çözümleri sunuyor.
- Zenci Grubu: 2013 yılında kurulan, uluslararası erişime sahip İtalyan CSV’si. Kötü amaçlı yazılım zincirleri aracılığıyla mobil cihazları hedef alan “Skygofree” kötü amaçlı yazılımı ve “VBiss” casus yazılımıyla tanınır.
- NSO Grubu: Pegasus casus yazılımları ve diğer gelişmiş casusluk araçlarıyla ünlü İsrail firması. Yaptırımlara ve hukuki sorunlara rağmen faaliyetlerine devam ediyor.
- Variston: Özelleştirilmiş güvenlik çözümleri sunan İspanyolca CSV. Sıfır gün istismarları için diğer satıcılarla işbirliği yapıyor ve BAE’de genişleyen Heliconia çerçevesiyle bağlantılı.
Bu satıcılar, ürünlerini kullanmak için lisansları milyonlarca dolar karşılığında satarak müşterilerin belgelenmemiş 1 tıklama veya sıfır tıklamayla açıklardan yararlanarak Android veya iOS cihazlarına virüs bulaştırmasına olanak tanıyor.
Açıklardan yararlanma zincirlerinden bazıları, düzeltmelerin mevcut olduğu bilinen kusurlar olan n-günleri kullanır, ancak yama gecikmeleri onları yine de genellikle uzun süreler boyunca kötü niyetli amaçlar için kullanılabilir hale getirir.
Google, CSV’lerin sıfır gün avında oldukça agresif bir şekilde büyüdüğünü ve 2019 ile 2023 yılları arasında bilinmeyen güvenlik açıklarına yönelik en az 33 istismar geliştirdiğini söylüyor.
Google’ın ayrıntılı raporunun ekinde, 11 CSV tarafından kullanılan 74 sıfır günün listesini bulabilirsiniz. Bunların çoğunluğu Google Chrome (24) ve Android’i (20) etkileyen sıfır günlerdir, bunu Apple iOS (16) ve Windows (6) takip etmektedir.
Beyaz şapkalı araştırmacılar, istismar edilen kusurları keşfedip düzelttiklerinde, CSV’ler, işleyen bir alternatif enfeksiyon yolunu yeniden inşa etmeye çalışırken sıklıkla önemli operasyonel ve mali zarara uğrarlar.
Google, “Google ve diğer güvenlik araştırmacıları yeni hatalar keşfedip açıkladığında, CSV’ler için sürtüşmeye neden oluyor ve geliştirme döngülerine mal oluyor” diyor.
“Kullanım zincirlerinde kullanılan güvenlik açıklarını keşfedip yamaladığımızda, bu yalnızca kullanıcıları korumakla kalmıyor, aynı zamanda CSV’lerin müşterilerle olan anlaşmalarını yerine getirmelerini, ödeme almalarını ve çalışmaya devam etme maliyetlerini artırmalarını da engelliyor.”
Ancak bu araçlara olan talep güçlü olduğundan ve sözleşmeler CSV’lerin vazgeçemeyeceği kadar kazançlı olduğundan, bu casus yazılımların yayılmasını durdurmak için yeterli değildir.
Google, hükümetler arasında daha yüksek düzeyde işbirliği, gözetleme teknolojisinin kullanımını düzenleyen katı kuralların getirilmesi ve uyumlu olmayan sağlayıcılara ev sahipliği yapan ülkelerle diplomatik çabalar dahil olmak üzere casus yazılım endüstrisine karşı daha fazla önlem alınması çağrısında bulunuyor.
Google, Güvenli Tarama, Gmail güvenliği, Gelişmiş Koruma Programı (APP) ve Google Play Koruma gibi çözümler aracılığıyla, ayrıca şeffaflığı koruyarak ve tehdit bilgilerini teknoloji topluluğuyla açıkça paylaşarak casus yazılım tehditlerine proaktif bir şekilde karşı çıkıyor.