Ticari gözetim satıcıları, niş teknoloji tedarikçilerinden dünya çapında gazetecilere, aktivistlere ve sivil toplum üyelerine benzeri görülmemiş tehditler oluşturan sofistike milyarlarca dolarlık bir ekosisteme dönüştü.
Sekoia.io’nun Tehdit Tespit ve Araştırma Ekibi’nin kapsamlı yeni bir raporu, bu özel şirketlerin, hedeflenen gözetimden izole edilmiş teknik bileşenlerden hedeflenen gözetimi, devlet sponsorlu siber yeteneklere rakip olan tamamen entegre çözümlere dönüştürdüğünü ortaya koyuyor.
Ticari casus yazılım endüstrisi, otoriter hükümetlerin muhalifleri izlemek ve popüler hareketleri bastırmak için umutsuzca hızlı gözetim araçları aradıkları 2010-2013 yılları arasındaki Arap Baharı protestoları sırasında belirgin bir şekilde ortaya çıktı.
Gamma Group’un Finfisher ve Hacking ekibinin uzaktan kumanda sistemi gibi ilk satıcılar bu talepten yararlandı ve ürünlerini Orta Doğu ve Kuzey Afrika’daki rejimlere sattı.
Bu dönem, nihayetinde konuşlandırma başına milyonlarca avro üretecek kazançlı bir pazarın başlangıcını işaret ediyordu.
2016 ve 2021 yılları arasında endüstri, NSO Group, Candiru ve Intellexa liderliğindeki teknolojik ilerlemeler gibi İsrail şirketleri ile önemli sanayileşti.
Sıklıkla İsrail Birimi 8200 Siber Savaş Bölümü’nün eski üyeleri tarafından kurulan bu firmalar, kurban etkileşimi ihtiyacını ortadan kaldıran sıfır tıkaç sömürü teknikleri getirdi.
Sekoia analistleri, bu sofistike atılımın tehdit manzarasını temelden değiştirdiğini ve kullanıcıların kötü niyetli bağlantıları tıklamasını gerektirmeden mesajlaşma uygulamalarındaki güvenlik açıkları yoluyla uzaktan cihaz uzlaşmasını sağladığını belirledi.
Enfeksiyon mekanizmaları
Ticari casus yazılımlar tarafından kullanılan enfeksiyon mekanizmaları, çoklu saldırı vektörlerinde dikkate değer teknik gelişmişlik göstermektedir.
Sıfır-tıkaç istismarları, kullanıcı etkileşimi olmadan mesaj makbuzu üzerine otomatik olarak uzlaşan en gelişmiş kategoriyi temsil eder.
Paragon’un grafit casus yazılımının son analizi, WhatsApp’ın otomatik içerik önizleme özelliğinin kullanılmasını ortaya çıkardı, burada kötü niyetli PDF’ler önizleme üretimi sırasında sıfır gün güvenlik açıklarını tetikledi.
Saldırı dizisi, hedefin telefon numarası sessizce bir WhatsApp grubuna eklendiğinde ve ardından özel hazırlanmış bir PDF dosyasının iletilmesiyle başlar.
Attack Flow:
1. Target enumeration and phone number acquisition
2. Silent addition to attacker-controlled WhatsApp group
3. Malicious PDF transmission with embedded exploit
4. Automatic content preview triggers vulnerability
5. Payload execution and persistent implant installationTek tıklamalı istismarlar, gelişmiş sosyal mühendislik kullanır, güncel olaylardan yararlanır ve hedefleri cazibe etmek için güvenilir ilişkiler.
Teknik, genellikle kurbanın çalışması veya aktivizmi ile ilgili bilinen temasların veya kuruluşların taklit edilmesini içerir.
Örneğin, bir sivil haklar aktivistinin tutuklanmasının ardından, rakipler önde gelen başka bir aktivisti taklit edebilir ve olaya atıfta bulunan kötü niyetli içerik gönderebilir, katılım olasılığını artırmak için aciliyet ve duygusal bağlamdan yararlanabilir.
Bu operasyonları destekleyen komuta ve kontrol altyapısı giderek karmaşık hale geldi ve çok katmanlı mimarileri belirlemek için çok katmanlı mimariler kullanıyor.
Predator casus yazılım işlemleri artık beş farklı altyapı katmanı kullanıyor ve en yeni katman, sahibi Intellexa konsorsiyum ödeme alıcılarına bağlantıları olan Çek şirketi Foxitech SRO’yu içeren.
Bu mimari evrim, ticari casus yazılım satıcılarının kaçınma ve düzenleyici gözetimden kaçınmaya nasıl uyum sağladığını göstermektedir.
Fiziksel erişim vektörleri, özellikle yetkililerin cihaz denetimleri sırasında casus yazılım yükleyebilecekleri sınır geçişlerinde önemli kalırlar.
Sırp yetkililerin, aktivistlerin ve gazetecilerin devam eden gözetimi için Novipsy casus yazılımları yüklemeden önce cihazların kilidini açmak için Cellebrite’ın evrensel adli ekstraksiyon cihazını kullandıkları bildirildi.
Meşru adli araçları ticari casus yazılımlarla birleştiren bu hibrit yaklaşım, yasal soruşturma ile mevcut tehdit manzarasını karakterize eden yetkisiz gözetim arasındaki bulanık sınırları örneklendirir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.