Türkiye

İsrailli firma Candiru’nun casus yazılımı deşifre oldu: Listede Türkiye de var

Microsoft tarafından yayımlanan güncellemelerin bir parçası olarak düzeltilen sıfırıncı gün açıklıklarından ikisi, Candiru adlı İsrail merkezli bir şirket tarafından dünya genelinde 100’den fazla gazeteci, akademisyen, aktivist ve siyasi muhalifi hacklemek üzere düzenlenen bir dizi saldırı kapsamında siber silah olarak kullanıldı. Türkiye’den de hedeflerin listede olması dikkat çekti.

Toronto Üniversitesi Citizen Lab tarafından yayınlanan bir rapora göre, casus yazılım satıcısının resmi olarak Google Tehdit Analizi Grubu’nun (TAG) Chrome tarayıcısındaki birden fazla sıfırıncı gün açıklığından yararlanarak Ermenistan’da bulunan kurbanları hedef aldığını ortaya çıkardığı ticari gözetim şirketi olarak tanımlandı.

Amazon balığı Candiru ile İsrail siber şirketi arasındaki ilişki ne olabilir?

DEVLET KONTROLÜ YOK

Citizen Lab araştırmacıları, “Candiru’nun belirgin ve yaygın varlığı ve küresel sivil topluma karşı gözetim teknolojisinin kullanılıyor oluşu, kâr amacı gözeten casus yazılım endüstrisinin birçok oyuncu içerdiği ve yaygın olarak suistimale müsait olduğu yönünde güçlü bir hatırlatıcı.” uyarısında bulunuyor ve ekliyor: “Bu vaka, herhangi bir uluslararası güvenlik önlemi veya güçlü hükümet ihracat kontrollerinin yokluğunda, casus yazılım satıcılarının hizmetlerini devamlı kötüye kullanacak olan devlet müşterilerine satış yapacaklarını bir kez daha gösteriyor.”

2014 yılında kurulan ve Microsoft’un “Sourgum” kod adını verdiği özel sektör saldırgan aktörünün (PSOA), DevilsTongue adındaki, yalnızca hükümetlere satılan ve farklı platformlarda iPhone’lar, Android’ler, Mac’ler, PC’ler ve bulut hesapları dahil olmak üzere çok çeşitli cihazlara bulaşma ve izleme yeteneğine sahip bir casusluk araç setinin geliştiricisi olduğu belirtiliyor.

Citizen Lab, “Batı Avrupa’da politik olarak aktif bir kurbandan” bir sabit disk aldıktan sonra Candiru’nun Windows casus yazılımının bir kopyasını kurtarabildiğini ve daha sonra güvenlik açıkları için kurban kutularına kötü amaçlı yazılım yüklemek için kullanılan CVE-2021-31979 ve CVE-2021-33771  kodlu zafiyetleri belirlemek için tersine mühendislik yapıldığını açıkladı.

WhatsApp ÜZERİNDEN URL GÖNDERİLMİŞ

Virüs zinciri, tarayıcı ve Windows yetkisiz erişimlerinin bir karışımına dayanıyordu. Tarayıcı, WhatsApp gibi mesajlaşma uygulamaları üzerinden hedeflere gönderilen tek kullanımlık URL’ler aracılığıyla sunuluyordu. Microsoft, 13 Temmuz tarihinde bir rakibin tarayıcı sanal alanlarından kaçmasına ve  uzaktan kod yürütmesi elde etmesine imkan tanıyan ayrıcalık yükseltme kusurlarını ele aldı.

İzinsiz girişler; dosyaları sızdırma, şifreli mesajlaşma uygulaması Signal’de kayıtlı mesajları dışa aktarma ve Chrome, Internet Explorer, Firefox, Safari ve Opera tarayıcılarından çerezleri ve şifreleri çalma dahil olmak üzere çeşitli kabiliyetlerle donatılmış modüler C/C++ tabanlı bir arkakapı olan DevilsTongue’nin dağıtımıyla sonuçlandı.

Microsoft’un dijital silah analizi, oturum açmış e-postalardan ve Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki ve Vkontakte gibi sosyal medya hesaplarından çalınan çerezleri bilgi toplamak, kurbanın mesajlarını okumak, fotoğrafları almak ve hatta onlar adına mesajlar göndermek, böylece tehdit aktörünün, güvenliği ihlal edilmiş bir kullanıcının bilgisayarından doğrudan kötü niyetli bağlantılar göndermesine izin verebildiği bulgusuna ulaştı.

Ayrıca Citizen Lab raporu, arama devi tarafından geçen hafta Çarşamba günü açıklanan iki Google Chrome güvenlik açığını (CVE-2021-21166 ve CVE-2021-30551) Tel Aviv merkezli şirkete bağlarken web sitelerinde yetkisiz erişimleri dağıtmak için kullanılan çakışmalara dikkat çekti.

764 DOMAIN ORTAYA ÇIKARILDI

Candiru’nun casus yazılım altyapısına bağlı 764 domain ortaya çıkarıldı ve bu domainlerin çoğunun Uluslararası Af Örgütü, Black Lives Matter hareketi gibi hak savunucusu örgütler, medya şirketleri ve diğer sivil toplum temalı kuruluşlar olduğu görülüyor. Kontrolleri altındaki sistemlerin bazıları Suudi Arabistan, İsrail, BAE, Macaristan ve Endonezya’dan idare ediliyordu.

Hedeflerinin Türkiye, Filistin, İsrail, İran, Lübnan, Yemen, İspanya (Katalonya), İngiltere, Ermenistan ve Singapur’da bulunduğu tespit edilen SOURGUM’un kötü amaçlı yazılımının bugüne kadar 100’den fazla kurbanı oldu. Microsoft’un Dijital Güvenlik Birimi Genel Müdürü Cristin Goodwin, “Bu saldırıların büyük ölçüde tüketici hesaplarını hedef almış olması Sourgum’un müşterilerinin belirli kişileri takip ettiğini gösteriyor.” yorumunu yaptı.

En son rapor, TAG araştırmacıları Maddie Stone ve Clement Lecigne’nin (kısmen satıcıların daha fazla sıfırıncı gün erişimi satmalarına bağlı olarak) siber saldırılarda 2010’lu yılların başlarına kıyasla sıfırıncı gün istismarı kullanan saldırganların sayısının arttığını fark etmesiyle geldi.

Microsoft Tehdit İstihbarat Merkezi (MSTIC), durum hakkında verdiği teknik bir özette “Özel sektör saldırgan aktörleri, hedeflerinin bilgisayarlarına, telefonlarına, ağ altyapılarına ve diğer cihazlarına girmek için, genellikle dünyanın dört bir yanındaki devlet kurumlarına bir hizmet olarak hackleme paketlerinde siber silahlar üreten ve satan özel şirketlerdir.” değerlendirmesini yaptı.

MSTIC, açıklamasını şöyle sürdürdü: “Bu bilgisayar korsanlığı paketleriyle, genellikle devlet kurumları hedefleri seçer ve fiili operasyonları kendileri yürütür. Bu şirketler tarafından kullanılan araçlar, taktikler ve prosedürler yalnızca saldırıların karmaşıklığını, ölçeğini ve karmaşıklığını artırır.”

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Başa dön tuşu