Dünyanın dört bir yanındaki hükümetler, hak savunucuları, muhalifler ve onları ilgilendiren diğer kişiler hakkında casusluk yapmak isteyen, son yıllarda ticari casus yazılım satıcılarının (CSV) keskin bir şekilde çoğalmasına neden oldu ve giderek daha fazla siber silah komisyoncusu piyasaya giriyor.
Bir zamanlar İsrail merkezlilerin alanı olan yer NSO Group—kötü şöhretli Pegasus casus yazılımının tedarikçisi Google’ın bugün yayınlanan “Casusluk Satın Alma” raporuna göre, program ve bir avuç diğer program, artık farklı düzeylerde karmaşıklık ve yeteneklere sahip düzinelerce küçük CSV ile dolup taşıyor. Google, rahatsız edici eğilime ilişkin kapsamlı yeni bir raporda, operasyonlarının genellikle nispeten az sayıda kişiyi hedef almasına rağmen, önemli ölçüde daha geniş yankılara sahip olduğu konusunda uyardı.
Google Tehdit Analiz Grubu’ndan (TAG) bir araştırmacı Dark Reading’e “CSV müşterilerinin, işletmeyi bir bütün olarak hacklemeye çalışmak için casus yazılım kullandığına dair kanıt görmedik” dedi.
Google’ın 0 Günlük Suistimallerinin Neredeyse Yarısından CSV’ler Sorumlu
Bu satıcıların sunduğu İnternet çapındaki tehdidin en büyük tezahürlerinden biri, Google, Apple ve diğer birçok büyük teknoloji sağlayıcısının yaygın olarak kullanılan ürünlerindeki sıfır gün güvenlik açıklarını bulma ve bunlardan yararlanma konusundaki rolleridir.
Google, 2014 ortası ile 2023 sonu arasında teknolojilerinde bilinen sıfır gün açıklarının neredeyse yarısının (72 saldırıdan 35’i) CSV’lerin arkasında olduğunu belirledi. CSV’ler ayrıca toplam 25 sıfır gün güvenlik açığından çarpıcı 20’sinden de sorumluydu Google TAG’dan araştırmacıların geçen yıl saldırganların vahşi doğada istismar yaptığını gözlemlediklerini söyledi. Google, bu rakamların bile neredeyse kesinlikle alt tarafta olduğunu söyledi.
Trend üzerine yükselen alarm, Biden Yönetimini bir açıklama yapmaya itti. Mart 2023’te İcra Emri Aktivistler, muhalifler, gazeteciler ve diğerleri için risk oluşturan ticari casus yazılım ürünlerinin yayılmasına karşı koymak ve bunların çoğalmasını önlemek için tasarlanmıştır. Google’ın raporuna ek olarak diğer bazı firmalar da şöyle: Elma, Toronto Üniversitesi Vatandaş Laboratuvarları, Cisco, Avrupa Parlementosu, ve Carnegie Vakfı CSV operasyonlarının dünya çapında hızla arttığını vurguladık.
Bir Casus Yazılım Patlaması
Kaygıların çoğu, hükümetlerin ve kolluk kuvvetlerinin hedef cihazlara ceza almadan sızmasına, onlardan bilgi toplamasına ve kurbanlar hakkında kontrolsüz casusluk yapmasına olanak tanıyan araç ve hizmetlerin mevcudiyetindeki patlamayla ilgilidir. Çoğu mobil cihazlar için tasarlanmış olan bu araçları satan satıcılar, ürünlerini genellikle kanunların uygulanmasına ve terörle mücadele çabalarına yardımcı olan meşru araçlar olarak açıkça tanıtıyorlar.
Ancak gerçek şu ki Google, baskıcı hükümetlerin gazetecilere, aktivistlere, muhaliflere ve muhalefet partisi politikacılarına karşı rutin olarak casus yazılım araçlarını kullandığını söyledi.
Şirketin raporunda bu tür suiistimallerin üç örneğine yer veriliyor: Biri Meksika merkezli bir insan hakları örgütüyle çalışan bir insan hakları savunucusunu hedef alıyordu; bir başkası ona karşı Sürgündeki Rus gazeteci; ve üçüncüsü Salvadorlu bir araştırmacı haber kaynağının kurucu ortağı ve yöneticisine karşı.
Uçtan Uca Gözetim İçin Fiyat Etiketi
Araştırmacı, CSV pazarındaki son büyümenin çoğunu, dünyanın dört bir yanındaki hükümetlerin, casus yazılım araçlarına yönelik ihtiyaçlarını, gelişmiş bir kalıcı tehdidin şirket içinde oluşturması yerine dış kaynaklardan sağlama yönündeki güçlü talebine bağlıyor.
Google TAG araştırmacısı, “Hükümetlerin artık kendi yeteneklerini geliştirmeye güvenmesi gerekmiyor, ancak garantili istismarlar için bir sözleşme ve teslimattan kuruluma ve toplanan verilerin analizine kadar tam bir hizmet aracı satın alabilirler” diyor.
Google’ın raporu, şirketin ve şirketin sattığı Yunanistan merkezli Intellexa’ya işaret etti. Uluslararası Af Örgütü yakın zamanda uyardıCSV’lerin bugün devlet müşterileri için sunabileceği uçtan uca gözetim yeteneklerinin ve bu hizmetlerin fiyat etiketinin bir örneği olarak. “İçin 8 milyon € Google, “Müşteri, Android ve iOS cihazlarına casus yazılım implantasyonu yüklemek için uzaktan tek tıklamayla yararlanma zincirini kullanma ve herhangi bir zamanda 10 eşzamanlı casus yazılım implantasyonunu çalıştırma becerisine sahip oluyor” dedi.
Temel fiyat, hükümete ve/veya emniyet teşkilatına mensup kullanıcılara Intellexa’nın Nova sistemini kurma ve yönetme olanağı sağlar. Yırtıcı casus yazılım implant ve bir veri analiz sistemi — satın alan müşterinin ülkesindeki cihazlarda ve ülkenin SIM kartlarını kullanarak. Google, aynı zamanda bir yıllık bakım garantisi de içeriyor; bu, satıcının zincirde kullanmış olabileceği sıfır günlük bir istismarın yamalanması durumunda müşterinin yeni bir istismara sahip olacağı anlamına geliyor.
Ek 1,2 milyon Euro (yaklaşık 1,3 milyon ABD Doları) ödemeye istekli müşteriler, beş ek ülkede Android ve iOS cihazlarına virüs bulaştırma olanağına sahip oluyor ve ek bir 3 milyon Euro (3,2 milyon ABD Doları) karşılığında hedef cihazlarda garantili kalıcılık elde ediyorlar.
“Eğer [state-sponsored actors] Google, raporunda “Her zaman en gelişmiş yetenekler üzerinde tekel haline gelmişse, o dönem kesinlikle bitti” dedi. “Artık tespit ettiğimiz en gelişmiş araçların önemli bir kısmından özel sektör sorumludur.”
Sömürü Tedarik Zinciri Büyüyor
Aslında birkaç CSV’nin birleşimi olan Intellexa, dikkat çeken tek yeni katılımcı değil. Diğerleri arasında İtalya’nın Negg Grubu; İspanya merkezli Variston; ve iOS ve Android cihazlar için İtalyan casus yazılım ürünleri sağlayıcısı Cy4Gate. Toplamda, Google şu anda dünya çapında hükümetlere ve istihbarat teşkilatlarına casus yazılım ürünleri satan yaklaşık 40 satıcıyı takip ediyor.
Google, “NSO Group gibi önde gelen CSV’ler kamuoyunun dikkatini ve manşetlerini toplarken, casus yazılımların geliştirilmesinde önemli bir rol oynayan düzinelerce daha küçük CSV’nin yanı sıra istismar tedarik zincirinin diğer önemli parçaları da var” dedi. “Tüm bu oyuncular, hükümetlerin bireylere karşı kullandığı tehlikeli araçların ve yeteneklerin çoğalmasına olanak tanıyor ve bu da İnternet ekosisteminin güvenliğini ve canlı ve kapsayıcı bir dijital toplumun dayandığı güveni tehdit ediyor.”