Siber Savaş / Ulus Devlet Saldırıları, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suç
Araştırmacılar Intellexa’nın Geri Dönüşe Hazırlandığını Söylüyor
Akşaya Asokan (asokan_akshaya) •
16 Eylül 2024
ABD Hazine Bakanlığı, Predator ticari casus yazılımının üreticilerine ve satıcılarına yönelik baskıyı, on milyonlarca dolarlık gözetleme kötü amaçlı yazılım işlemlerine olanak sağladığı iddia edilen beş kişi ve Karayipli bir şirkete yaptırım uygulayarak artırdı.
Ayrıca bakınız: Panel | Siber Saldırılar Artıyor — Ve Siber Sigorta Oranları Fırlıyor
Yaptırımlara, Hazine’nin “ulus devlet kalibresinde gözetleme araçları geliştiren ve satan karmaşık bir uluslararası merkezsiz şirketler ağı” olan Intellexa Konsorsiyumu’nun sahibi olarak tanımladığı Felix Bitzois de dahil. Yaptırım uygulanan şirket, federal yetkililerin konsorsiyum kurucusu Tal Jonathan Dilian tarafından yönetildiğini söylediği, Britanya Virjin Adaları merkezli Aliada Group.
Yaptırımlar, federal hükümetin Dilian’a ve Hazine’nin Predator’ı inşa etmekten sorumlu kodlayıcıları istihdam ettiğini söylediği Yunanistan merkezli Intellexa ve Kuzey Makedonya merkezli Cytrox dahil olmak üzere beş bağlantılı şirkete yaptırım uygulamasından aylar sonra geldi. Hem şirketler hem de Intellexa Konsorsiyumu’nun diğer bileşenleri, Temmuz 2023’te Ticaret Bakanlığı kara listesine dahil edilmelerinden bu yana ABD yapımı teknoloji satın alma konusunda kısıtlamalarla karşı karşıya kaldılar (bkz: ABD, Ticari Casus Yazılımlara Karşı İlk Yaptırımlarını Duyurdu).
Hazine yaptırımları, ABD vatandaşlarının belirlenmiş kişiler ve şirketlerle iş yapmasını yasaklıyor ve ABD bağlantılı finansal kuruluşlarda tutulan tüm finansal varlıkları donduruyor. The Citizen Lab’daki ticari casus yazılım karşıtı araştırmacılar, Intellexa’nın ortaya çıkışını 2019’a kadar takip etti. Intellexa, “Greek Watergate” lakaplı bir skandalda Yunan politikacılara, gazetecilere ve iş yöneticilerine yönelik gözetlemeyle ilişkilendirildi.
Predator kötü amaçlı yazılımı, kullanıcının yalnızca bir kez tıklamasını gerektiren saldırılar yoluyla akıllı telefonlara bulaşabilir. Gelişmiş sürümler kullanıcı etkileşimi gerektirmez, yani “tıklama yok” saldırısı. Cisco Talos, 2023’te Predator’ı, cihazları yeniden enfekte etmek zorunda kalmadan yeni Python tabanlı modülleri kabul etme yeteneği sayesinde “özellikle çok yönlü ve tehlikeli” olarak tanımladı.
Atlantic Council’a bağlı DFRLab’ın Eylül ayında yayınladığı raporda, Intellexa Konsorsiyumu’ndaki şirketler arasında uzun menzilli Wi-Fi sinyallerini dinleme ve şifre çıkarma konusunda uzmanlaşmış bir firma ile Predator virüsü bulaşmış telefonlardan gelen verileri analiz eden açık kaynaklı bir istihbarat firmasının da yer aldığı belirtiliyor.
Avrupa Birliği ve ABD yetkilileri, otoriter hükümetlerin bu araçları muhaliflere ve aktivistlere karşı kullandığına dair devam eden kanıtlar arasında ticari casus yazılım pazarını azaltmaya çalıştı. Ticari casus yazılımların az sayıdaki kamu savunucusu, tehlikeli suçluları yakalama ve terörist grupları izlemedeki rollerini vurguladı. Amerika Birleşik Devletleri’nde, Başkan Joe Biden Mart 2023’te, kurumların muhalifleri gözetlemek için yabancı hükümetler tarafından kullanılan casus yazılımlar için lisans satın almasını yasaklayan bir yürütme emri imzaladı (bkz: ABD, Hükümetin Gelişmiş Akıllı Telefon Casus Yazılım Kullanımını Sınırlıyor). Dışişleri Bakanlığı Şubat ayında “ticari casus yazılımların kötüye kullanımı”na karışan kişilere karşı vize kısıtlamaları getirildiğini duyurdu.
Bugünkü yaptırımların gelecekteki Predator enfeksiyonlarını caydırıp caydırmayacağı henüz belirlenmedi. Recorded Future’daki araştırmacılar bu ayın başlarında, ABD’nin daha önceki kara listeleme ve yaptırım turlarına rağmen Intellexa’dan yeni aktiviteler ortaya çıkardı.
Araştırmacılar, hükümet eylemleri ve maruziyetin gözlemlenebilir Predator aktivitesinde “fark edilir bir azalmaya” yol açtığını söyledi. Ancak operatörler, altyapılarını güçlendirerek ve tespitten kaçınmak için yeni karmaşıklık katmanları ekleyerek yanıt verdi ve yeniden canlanmanın yolunu açtı.
Recorded Future, Haziran ve Ağustos ayları arasında Angola ve Kongo’daki Predator’a bağlı faaliyet kümelerinin yanı sıra Birleşik Arap Emirlikleri ve Madagaskar’da şüpheli faaliyetleri ortaya çıkardı.
Predator’ın Afrika müşterileri çok katmanlı bir altyapı ağı kullanıyordu. Aşağı akış dağıtım sunucuları muhtemelen cihaz istismarında ve ilk erişimde rol oynadı. Bu sunucular sıklıkla yukarı akış sunucularıyla iletişim kuruyor, muhtemelen anonimleştirme için atlama noktaları olarak konuşlandırılıyor ve “dağıtım sunucularının belirli Predator müşterilerine bağlanma şansını en aza indiriyordu.”
Predator, Insikt Group’ta kıdemli tehdit araştırmacısı olan Julian-Ferdinand Vögele’ye göre, ilk uzaktan kod yürütme, sandbox kaçışı veya yerel ayrıcalık yükseltmesi gibi birden fazla açığı zincirleyerek akıllı telefonlara bulaşıyor. Casus yazılımın “son derece karmaşık” olduğunu ve “kapsamlı istilacı yeteneklere” sahip olduğunu söyledi.
Vögele, Information Security Media Group’a yaptığı açıklamada, “Predator’ın ABD yaptırımlarına rağmen devam eden faaliyetleri, şirketlerin kimliklerini ve kurumsal yapılarını sürekli olarak değiştirmesi, operasyonlarını yargı bölgeleri arasında kaydırması ve önemli miktarda sınır ötesi fon sağlamasıyla karakterize edilen paralı casus yazılım ekosistemi hakkında daha fazla şey ortaya koyuyor.” dedi.
Bazı casus yazılım eleştirmenleri, casus yazılımların görünürdeki çözümsüzlüğünün teknik bir sorun olmadığını söylüyor. “AB’nin şu anda eksik olduğu şey siyasi bir irade; AB’deki ulusal hükümetlerin ve komisyonun casus yazılım sorununu çözmek için sıfır iştahı olduğu çok açık,” diyor, Avrupa Parlamentosu’nun eski Hollandalı üyesi ve ticari blok üyelerinin ticari casus yazılım kullanımına ilişkin bir soruşturmanın raportörü olarak görev yapan Sophia in ‘t Veld.
Araştırmacıların raporu, Avrupa Komisyonu’nun casus yazılım ihracat kontrollerini sıkılaştırmasını ve ticari casus yazılımların yalnızca ulusal güvenliğe yönelik “gerçek tehdit” durumlarında kullanılmasına izin vermesini talep etti. Sivil toplum gruplarından oluşan bir koalisyon, bu ayın başlarında Avrupa Komisyonu’nu özel şirketler tarafından ticari casus yazılımların geliştirilmesi ve satışının tamamen yasaklanması için çağırdı. Washington, DC merkezli Demokrasi ve Teknoloji Merkezi’nin liderliğindeki gruplar, “AB kurumları etkili çözümler sağlamada başarısız oldu” dedi.
Yunan savcılarının Yunan hükümetinin Predator veya diğer gözetleme yazılımlarını kullanmadığı sonucuna vardığı bildirildi. Polonya Anayasa Mahkemesi, ülkenin Pegasus kullanımını araştıran parlamento komisyonunun anayasaya aykırı olduğuna karar verdi.
Washington, DC’deki Information Security Media Group’tan David Perera’nın haberiyle