Casus yazılımları sadece hükümetlere satan İsrail merkezli şirket Candiru, geliştirdiği yazılımlarla platform fark etmesizin iPhone, Android, Pc, MacOS ve Cloud (bulut) hesaplarına erişebildiği izleyebildiği belirtiliyor.
CitizenLab’ın araştırmasına göre: Merkezi İsrail’in Tel Aviv şehrinde bulunan şirketin, geliştirdiği yazılımlarla platforma fark etmesizin iPhone, Android, Pc, MacOS ve Cloud (bulut) hesaplarına erişebildiği ve ve izleyebildiği belirtiliyor. 2014 yılında kurulan şirketin, eski bir çalışanın açtığı davaya göre kuruluşundan sonraki iki yıl içinde yaklaşık 30 Milyon Dolar’lık satış yaptığı belirtiliyor. Bununla birlikte Pegasus adlı casus yazılımıyla bilinen NSO Group’un erken yatırımcılarından biri olan Isaac Zack, Candiru’nun kuruluşundan iki ay gibi kısa bir süre sonra şirketin en büyük hissedarlarından biri olduğu belirtiliyor.
CitizenLab araştırmacıları 2021 yılında, Censys’den geçmiş verileri araştırıp, kendi taramalarını gerçekleştirmiş. Yapılan taramalar ve analizlerden sonra Candiru ve müşterileri tarafından kullanılmak üzere -kendi belirlediklere kriterler göre- orta-yüksek derecede az 750 tane web sitesi keşfedilmiş. Bu alan adlarına dair yapılan analizlerde Asya, Avrupa, Orta Doğu ve Kuzey Amerika’daki hedeflere olası bir ilgi olduğunu gözlemlemişler. Bu web sitelerinin Uluslararası Af Örgütü, medya şirketleri, sivil toplum kuruluşları ve BlackLives Matter hareketi gibi savunucu maskesi altında faliyet gösterdiği belirtiliyor. Kontrolleri altındaki bazı sistemlerin Suudi Arabistan, İsrail, BAE, Macaristan ve Endonezya’dan işletildiği belirtiliyor.
MSTIC iki yeni güvenlik açığını tespit etmiş
Bununla birlikte Batı Avrupa’da politik olarak aktif bir kurban belirlendiğinin ve ilgili kişiden alınan veriler ışığında Candiru’nun Windows casus yazılımının bir kopyasınının elde edildiği belirtiliyor. CitizenLab araştırmacıları, Microsoft Tehdit İstihbarat Merkezi (MSTIC) ile birlikte bir çalışma gerçekleştirerek casus yazılımın analizini gerçekleştirmişler. Buna göre Microsoft araştırmacıları, casus yazılımın operasyonlarında yararlandığı CVE-2021-31979 ve CVE-2021-33771 adında iki tane ayrıcalık yükselme güvenlik açığını tespit etmiş. Ve 13 Temmuz 2021’de yayınlana güncellemelerle bu iki güvenlik açığını kapatmışlar.
Google’ın TAG Araştırması ve Sıfırıncı Gün Açıkları
14 Temmuz 2021 günü Google’ın TAG ekibi tarafından, Chrome’da keşfedilen iki adet sıfırıncı gün istismarının yer aldığı bir rapor yayınlandı. CVE-2021-21166 ve CVE-2021-30551 adındaki bu iki zafiyet, uzaktan kod yürütülmesine olanak sağlıyor. TAG ekibi bu iki zafiyetinde Ermenistan’daki hedefler için olduğunu düşünüyor ve kurbanlara gönderilen e-postalarda tek seferlik bir bağlantı yakalanmış. TAG ekibinin analizleri sonrasında ortaya çıkan IP adreslerinin bazıları, CitizenLab ekibin elde ettiği IP adresler ile eşleşmiş. Bu yüzden CitizenLab, Google’un bulduğu bu iki sıfırıncı gün istismarının Candiru’ya ait olduğunu düşünüyor.
Türk Savunma Sanayisi Hedefte
Casus yazılımın hedef aldığı kullanıcıların ülkelere göre araştırmasında Filistin, İsrail, İran, Lübnan, Yemen, İspanya, Birleşik Krallık, Türkiye, Ermenistan ve Singapur öne çıkıyor. Belirtilen bu ülkelerde aralarında insan hakları savunucuları, muhalifler, büyükelçilik çalışanları, gazeteciler, aktivistler ve politikacıların yer aldığı en az 100 kurban olduğu gözlemlenmiş.
CitizenLab araştımacıları, Candiru’nun hedefleme altyapısıyla ilgili yaptığı çalışmalarda Türkiye’yi ilgilendiren iki şirket yer alıyor. Bir tanesi savunma sanayi diğeri de medya şirketlerinden biri olarak yer alıyor. Raporda yer alan bu iki şirketin ana domainlerine çok yakın domainler alınmış:
Vestel Savunma: vesteldefnce[.]io
Yeni Şafak: yeni-safak[.]com
