2010-2025 yılları arasında kapsamlı bir yeni rapor, bu özel firmaların cihazlara, tipik hedeflerine ve gizli implantlarını veren enfeksiyon zincirlerine sızmak için kullandıkları yöntemleri ortaya çıkararak ticari casus yazılım satıcılarının (CSV’ler) sürekli gelişen manzarasını ortaya koymaktadır.
Önde gelen bir siber güvenlik istihbarat firması tarafından üretilen çalışma, Finfisher ve Hacking ekibinden ilk öncülerden NSO Group, Candiru ve Intellexa konsorsiyumu gibi modern devlere kadar CSV’lerin yarattığı sürekli tehdidin altını çiziyor.
Rapor, ticari casus yazılımların oluşumunu, sosyal medya aracılığıyla körüklenen vatandaş ayaklanmalar tarafından endişe duyduğu otoriter rejimlerin gözetim ve baskı için hazır araçlar aradığı Arap Baharı’nın ardından izliyor.
İlk satıcılar 2010 ve 2015 yılları arasında ortaya çıktı: Gamma Group’un Finfisher (Finspy) ve İtalya’nın Hacking Ekibi, Uzaktan Kumanda Sistemi (RCS) ile Mısır, Bahreyn, Fas ve Suudi Arabistan’daki hükümetler kimlik avı kampanyaları ve kötü niyetli belge istismarları yoluyla aktivistleri izlemelerini sağladı.
Amesys gibi Avrupalı firmalar, Libya tarafından kitlesel internet izleme için kullanılan derin bir paket-inspection çözümü olan “Eagle” sağladılar-insan hakları ihlalleri için yargılandı ve bugünün Intellexa Predator casus yazılımına dönüşmeden önce boğa grubu altında yeniden markalaştı.
Sanayileşme ve gizlilik
2016’dan 2021’e kadar CSV’ler tam hizmet sağlayıcılarına dönüştü. İzinsiz giriş vektörlerini, komut ve kontrol altyapılarını, çok dilli gösterge tablolarını ve veri söndürme modüllerini anahtar teslimi çözümlerine entegre ettiler.
Güvenlik açığı araştırmacıları, geliştiriciler ve brokerlerden istismar, belirli hedeflere karşı bir gözetim operasyonunun sürekliliğini sağlamak için yeni güvenlik açıkları ve istismarlar sağlamak için çağrılabilir.
Halka açık sıfır-tıkaç ve tek tıklama implantlarının ilk çıkışı bir dönüm noktası olarak işaretlendi: NSO Group’un Pegasus’u 2016’da tek bir tıklama yoluyla iOS güvenlik açıklarını kullanırken, daha sonraki sürümler, WhatsApp gibi uygulamalarda kötü biçimlendirilmiş mesajlar veya sessiz grup katılımlarından ödün vermeyen kullanıcı etkileşimi gerektirmedi.
İsrail satıcıları eski askeri istihbarat birimlerinden çekilen uzmanlıktan yararlandı-birim 8200 gazi grafit casus yazılımlarda (Paragon Solutions) ve Devilstongue (Candiru) yeniliklerini körükledi.
Araştırmacı gazetecilik ve STK maruziyetleri – Pegasus projesi, Af Örgütü’nün MVT araç seti ve Citizen Lab’ın Predator dosyaları – 2021’den sonra bir meşruiyet krizini tetikledi.
Davalar ve yaptırımlar izledi: Meta’nın WhatsApp istismarları için NSO’ya karşı 167 milyon dolarlık kararı ve NSO, Candiru ve Intellexa için ABD varlık listeleri operasyonları bastırmayı amaçladı.
Yine de rapor, CSV’lerin yeniden markalaşma yoluyla uyum sağladığını, yargı bölgeleri arasında opak iştirakler oluşturma ve aracıları Dışa aktarma kontrollerini atlamak için görevlendirildiğini ve XTN bilişsel güvenliğinin bir platform geliştirdiğini ve kavrama karşıtı çözümlerde uzmanlığa sahip olduğunu buldu.
Intellexa’nın yırtıcısı, çok katmanlı bir C2 ağı aracılığıyla devam etti, hatta üçüncü taraf şirketlerin sahip olduğu daha önce görülmemiş anonimleştirme sunucuları katmanları bile ekledi.
Enfeksiyon zincirleri ve teknik vektörler
Ticari casus yazılım enfeksiyon zincirleri genellikle profil hedeflerinin cihaz ekosistemlerine keşifle başlar.
Operatörler, mesajlaşma uygulamalarındaki veya temel bant protokollerindeki güvenlik açıklarından yararlanan tek tıklamayla (mızrak akhisiz bağlantıları veya silahlı dosyalar) veya sıfır tıklatma (kötü biçimlendirilmiş görüntü veya PDF önizlemeleri) vektörlerini seçer.
Fiziksel erişim bir geri dönüş olmaya devam ediyor – USB enjeksiyon araçlarını veya Cellebrite’s UFED gibi adli cihazların sınırlarda veya kontrol noktalarında nöbetler meydana geldiğinde implantları yüklemek için.
Bir kez dağıtıldıktan sonra, Beacon’a C2 sunucularına – genellikle yazım hatası veya tehlikeye atılmış meşru alanlar – VIA HTTP’leri ve SSH kanallarına implant.
Satıcılar, müşterilerinin ayak izlerini haritalamak için kayıt kalıplarını ve altyapı yanlış yapılandırmalarını izler. Tespit zordur: SpyGuard gibi ağ trafik analiz araçları ve Apple’ın Sysdihouse veya Afesty’s MVT gibi adli kitler anomalileri işaretleyebilir, ancak sofistike implantlar keşiften kaçınmak için jeofencing ve protokol rotasyonu kullanır.
Rapor, düzenleyici çabalara ve maruziyetlere rağmen CSV pazarının oldukça kazançlı olduğu konusunda uyarıyor.
Aktivasyon ücretleri – 2011 yılında Finfisher için 1.100 € ‘dan 2022’de yırtıcı tesisler için 8 milyon €’ ya yükseldi – hem otokrasiler hem de sağlam gözetimden yoksun demokrasiler arasında devam eden talebi etkiledi.
Güvenlik hijyeni protokolleri-düzenli güncellemeler, kilitleme modları, kullanılmayan radyoları devre dışı bırakma ve temkinli bağlantı işini-kısmi hafifletme. Gezginlere brülör cihazları kullanmaları ve gümrük denetimlerinden sonra uzlaşma varsaymaları tavsiye edilir.
Ticari casus yazılım satıcıları araçlarını ve operasyonel güvenliklerini geliştirdikçe, rapor, sorumsuz satışları engellemek için Pall Mall Uygulama Kuralları gibi daha güçlü uluslararası çerçeveler gerektiriyor.
Etkili yasal önlemler ve şeffaflık olmadan, CSV özellikli gözetim riskleri acil bir küresel endişe olmaya devam etmektedir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.