Ticari casus yazılımların gazetecileri, insan hakları savunucularını ve muhalifleri hedef almak için nasıl kötüye kullanıldığını araştıran kuruluşlar olmasına rağmen, bu tür yazılımların geliştirilmesi ve satışı ile ilgili büyüyen pazar ve bunun dağıtılmasında kullanılan istismarlar hala büyük ölçüde gizemini koruyor. .
“Önemli iken [commercial spyware vendors] Google Tehdit Analizi Grubu (TAG) kıdemli yöneticisi Shane Huntley, “Kamuoyunun dikkatini çekip manşetlere çıkan, daha az fark edilen ancak casus yazılım geliştirmede önemli rol oynayan düzinelerce başka yazılım daha var” diyor.
Salı günü yayınlanan bir raporda Google TAG, bazıları daha çok, bazıları daha az bilinen on bir ticari casus yazılım satıcısını ve ürünlerini adlandırdı. (Hepimiz NSO Group ve Intellexa’yı duyduk ama PARS Savunma ve Wintego Sistemleri’ni duydunuz mu?)
Birçok CVS, hassas ayrıntıları yalnızca (potansiyel) müşterileriyle paylaşsa da, açık bir şekilde çalışır.
“Her yıl yeni şirketlerin açılması ve mevcut şirketlerin yeni isimler altında yeniden birleşmesi nedeniyle dünya çapındaki CSV’lerin sayısını saymak imkansız. TAG şu anda devlet müşterilerine açıklardan yararlanma ve casus yazılım geliştiren ve satan yaklaşık 40 CSV’yi izliyor” dedi.
Ticari gözetleme satıcıları ve özel sektör saldırgan aktörlerinin yanı sıra, casus yazılım pazarındaki diğer aktörler arasında güvenlik açığı araştırmacıları ve istismar geliştiricileri, (casus yazılımı satın alan ve kullanan) hükümet müşterileri ve bu gruplar arasında aracı görevi gören komisyoncular yer alır.
Google tekliflerinden 0 gün yararlanan casus yazılım satıcıları
Ticari casus yazılımlar genellikle önceden bilinmeyen güvenlik açıklarından yararlanarak Google yapımı cihazların ve yazılımların kullanıcılarını hedef aldığından, Google’ın pazarı bozmaya olan ilgisi şaşırtıcı değildir.
“CSV’ler, Google ürünlerini ve Android ekosistemi cihazlarını hedef alan bilinen 0 günlük saldırıların yarısının arkasında yer alıyor. Google analistleri, 2014’ün ortasından bu yana Google ürünlerini etkileyen bilinen 72 0 günlük istismarın 35’ini CSV’lerle ilişkilendirdiğini söylüyor.
“Bu, yalnızca ilişkilendirme konusunda yüksek güvene sahip olduğumuz bilinen 0 günlük istismarları yansıttığı için bir alt sınır tahminidir. CV’ler tarafından geliştirilen 0 günlerin gerçek sayısı, Google ürünlerini hedefleyen 0 gün de dahil olmak üzere neredeyse kesinlikle daha yüksektir.”
Ancak Google TAG ve diğer güvenlik araştırmacıları bu saldırı yollarını keşfetmek için sürekli çalışırken ve şirketler güvenlik açıklarını kapatmak için çalışırken, saldırının sonu yok gibi görünüyor.
Google TAG, “Gözetim yeteneklerine talep olduğu sürece, CSV’lerin araç geliştirmeye ve satmaya devam etmeleri için teşvikler olacak, bu da yüksek riskli kullanıcılara ve genel olarak topluma zarar veren bir endüstrinin sürdürülmesine yol açacak” diyor.
“Belirli hedef cihazlara garantili erişim sağlamak, bu araçların açığa çıkmasından kaynaklanan maliyet ve itibar riskinin yükünü devlet müşterisinden CSV’ye kaydırıyor. Maliyetteki bu kayma, araçların kullanılma olasılığını artırabilir. Devlet kurumları CSV endüstrisinden kullanıma hazır yetenekler satın aldıkça, casus yazılım kullanımı giderek normalleşiyor.”
Ticari casus yazılımların kötüye kullanılmasına karşı mücadele için küresel bir çaba
Google TAG’ın raporu, bu pazar hakkında farkındalığı artırma ve dünya çapındaki hükümetleri ticari casus yazılım endüstrisini frenleyecek ve zararlarını sınırlayacak politikalar uygulamaya zorlama çabasının bir parçası.
İlgili bir haberde Pazartesi günü ABD Dışişleri Bakanı Antony Blinken, Dışişleri Bakanlığı’nın aşağıdakilere vize kısıtlaması getirilmesine olanak sağlayacak yeni bir politika uyguladığını duyurdu:
- “Gazetecileri, aktivistleri, yaptıkları iş nedeniyle muhalif olarak algılanan diğer kişileri, dışlanmış toplulukların veya savunmasız grupların üyelerini veya hedef alınan bu kişilerin aile üyelerini” gözetlemek, taciz etmek veya korkutmak için ticari casus yazılımların kötüye kullanılmasına karışan kişiler
- Ticari casus yazılımların bu tür kötüye kullanımını kolaylaştırdığına veya bundan mali fayda sağladığına inanılan kişiler (örneğin, ticari casus yazılım satıcıları ve komisyoncular)
Dışişleri Bakanlığı’nın bu son eylemi, Biden Yönetimi’nin ABD Hükümeti tarafından ticari casus yazılımların kullanımını yasaklayan bir idari emir yayınlamasından ve ayrıca hükümetin gözetim teknolojisi kullanımına rehberlik edecek bir dizi ilkeyi onaylamasından neredeyse bir yıl sonra gerçekleşti. Dünya çapında 48 hükümet tarafından onaylanmıştır.
Ticari casus yazılımların kötüye kullanımına karşı mücadele kızışıyor gibi görünüyor, ancak Google’ın tehdit analistlerinin işaret ettiği gibi, “bu teknolojilerin yayılmasına izin veren teşvik yapısını değiştirmek” için hükümetlerin, endüstrinin ve sivil toplumun yoğun ve sürekli çaba göstermesi gerekecek.