Siber Muhbir

Pall Mall Süreci olarak adlandırılan girişim, bu tür araçların geliştirilmesi, kolaylaştırılması, satın alınması ve kullanılmasıyla ilgili olarak Devletler, endüstri ve sivil toplum için yol gösterici ilkeler ve politika seçenekleri oluşturarak ticari siber saldırı araçlarının yaygınlaşması ve sorumsuzca kullanılmasıyla mücadele etmeyi amaçlıyor.

Bildirgede, casus yazılım tekliflerinin "kontrolsüz yayılmasının" "siber uzayda kasıtsız tırmanışa" katkıda bulunduğu belirtilerek, siber istikrar, insan hakları, ulusal güvenlik ve dijital güvenlik için risk oluşturduğu belirtildi.

Birleşik Krallık hükümeti bir basın açıklamasında, "Bu araçların kötü niyetli olarak kullanıldığı durumlarda, saldırılar kurbanların cihazlarına erişebilir, aramaları dinleyebilir, fotoğraf çekebilir ve 'sıfır tıklama' casus yazılımı aracılığıyla bir kamera ve mikrofonu uzaktan çalıştırabilir, bu da kullanıcı etkileşimine gerek olmadığı anlamına gelir" dedi.

Ulusal Siber Güvenlik Merkezi'ne (NCSC) göre, her yıl binlerce kişinin casus yazılım kampanyaları tarafından küresel olarak hedef alındığı tahmin ediliyor.

Başbakan Yardımcısı Oliver Dowden, İngiltere-Fransa Siber Yayılma konferansında yaptığı açıklamada, "Bu araçlar için ticari pazar büyüdükçe, cihazlarımızı ve dijital sistemlerimizi tehlikeye atan, giderek daha pahalı hasara neden olan ve siber savunmamızın kamu kurumlarını ve hizmetlerini korumasını her zamankinden daha zor hale getiren siber saldırıların sayısı ve ciddiyeti de artacaktır" dedi.

Etkinliğe katılan ülkeler listesinde özellikle eksik olan, Candiru, Intellexa (Cytrox), NSO Group ve QuaDream gibi bir dizi özel sektör saldırgan aktörüne (PSOA) veya ticari gözetim satıcısına (CSV'ler) ev sahipliği yapan İsrail'dir.

Recorded Future News, geçmişte casus yazılım suistimalleriyle bağlantılı olan Macaristan, Meksika, İspanya ve Tayland'ın taahhüdü imzalamadığını bildirdi.

Çok paydaşlı eylem, ABD Dışişleri Bakanlığı'nın tehlikeli casus yazılım teknolojisinin kötüye kullanımına karıştığını düşündüğü kişilerin vizelerini reddetme duyurusuyla aynı zamana denk geliyor.

Google, paylaşılan bir açıklamada, "Yakın zamana kadar, hesap verebilirlik eksikliği, casus yazılım endüstrisinin dünya çapında tehlikeli gözetim araçlarını çoğaltmasını sağladı" dedi. "Casus yazılım satıcılarının ABD'de faaliyet gösterme yeteneklerini sınırlamak, büyümelerinin devam etmesine izin veren teşvik yapısını değiştirmeye yardımcı oluyor."

Bir yandan, Chrysaor ve Pegasus gibi casus yazılımlar, kolluk kuvvetleri ve terörle mücadelede kullanılmak üzere devlet müşterilerine lisanslanmıştır. Öte yandan, baskıcı rejimler tarafından gazetecileri, aktivistleri, avukatları, insan hakları savunucularını, muhalifleri, siyasi muhalifleri ve diğer sivil toplum üyelerini hedef almak için rutin olarak istismar edildiler.

Bu tür izinsiz girişler, hassas bilgileri toplamak amacıyla gözetim yazılımını hedeflerin Google Android ve Apple iOS cihazlarına gizlice teslim etmek için genellikle sıfır tıklama (veya tek tıklama) açıklarından yararlanır.

Bununla birlikte, casus yazılım ekosistemiyle mücadele etmek ve kontrol altına almak için devam eden çabalar, benzer siber silahlar sağlayan veya bulan tekrar eden ve daha az bilinen oyuncuları savuşturmanın zorluğunun altını çizen bir köstebek gibi oldu.

Bu aynı zamanda CSV'lerin Apple, Google ve diğerleri gibi şirketler sıfırıncı gün güvenlik açıklarını keşfedip kapattıkça yeni istismar zincirleri geliştirmek için çaba harcamaya devam ettiği gerçeğine de uzanıyor.

Google'ın Tehdit Analizi Grubu (TAG), "Gözetim yeteneklerine yönelik bir talep olduğu sürece, CSV'lerin yüksek riskli kullanıcılara ve genel olarak topluma zarar veren bir endüstriyi işleyen araçlar geliştirmeye ve satmaya devam etmeleri için teşvikler olacaktır" dedi.

TAG tarafından bu hafta yayınlanan kapsamlı bir rapor, şirketin ürünlerini devlet kurumlarına satan yaklaşık 40 ticari casus yazılım şirketini izlediğini ve bunların 11'inin son on yılda Google Chrome (24), Android (20), iOS (16), Windows (6), Adobe (2) ve Mozilla Firefox'ta (1) 74 sıfır gün istismarıyla bağlantılı olduğunu ortaya koydu.

Örneğin, devlet destekli kimliği belirsiz aktörler, Barselona merkezli Variston tarafından geliştirilen casus yazılımları kurbanlara bulaştırmak için geçen yıl sıfır gün olarak iOS'taki üç kusurdan (CVE-2023-28205, CVE-2023-28206 ve CVE-2023-32409) yararlandı. Kusurlar, Nisan ve Mayıs 2023'te Apple tarafından yamalandı.

Mart 2023'te keşfedilen kampanya, SMS yoluyla bir bağlantı sağladı ve BridgeHead casus yazılım implantını Heliconia istismar çerçevesi aracılığıyla dağıtmak amacıyla Endonezya'da bulunan iOS 16.3.0 ve 16.3.1 sürümlerini çalıştıran iPhone'ları hedef aldı. Ayrıca Variston tarafından silahlandırılan Qualcomm yongalarında (CVE-2023-33063) ilk olarak Ekim 2023'te ortaya çıkan yüksek önem derecesine sahip bir güvenlik açığı var.

Apple iOS ve Google Chrome'da 2023'te keşfedilen ve belirli casus yazılım satıcılarına bağlı olan sıfır gün güvenlik açıklarının tam listesi aşağıdaki gibidir:

Teknoloji devi, "Özel sektör firmaları uzun yıllardır istismarları keşfetme ve satma konusunda yer alıyor, ancak anahtar teslimi casusluk çözümlerinin yükselişi daha yeni bir fenomen" dedi.

"CSV'ler, seçilen bir cihazın, casus yazılımın ve gerekli altyapının savunmasını aşmak için tasarlanmış bir istismar zincirini bir araya getiren 'oynamak için öde' araçları sunmak için derin teknik uzmanlıkla çalışır.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.