Siber güvenlik şirketi Lookout’ın gerçekleştirdiği araştırmaya göre Kazakistan hükümeti içerisindeki bir kurumun kendi vatandaşlarına karşı kurumsal bir casus yazılım kullandığı ortaya çıktı.
Kazakistan hükümeti içerisindeki bu devlet kurumunun ismi açıklanmazken, kurumun bir marka kimliğine bürünerek, kurbanların “Hermit” adlı kötü amaçlı yazılımı indirmeleri için çalışılmış. Bu casusluk operasyonunun zamanlaması ekstra önem taşıyor diyebiliriz. 2022’nin ilk haftasında, hükümet karşıtı protestolar Kazakistan genelinde şiddetli baskılarla karşılandı. Toplamda 227 kişi öldü ve yaklaşık 10 bin kişi tutuklandı. Bu olayların bitişinde dört ay sonra araştırmacılar, Hermit’in en son örneklerini keşfetmişlerdi.
Lookout araştırmacılarının “Hermit” olarak adlandırdıkları mobil odaklı bu casus yazılımın muhtemelen İtalya merkezli RCS Lab S.p.A ve paravan şirket olarak faaliyet gösterdiğinden şüphelendikleri bir telekomünikasyon çözümleri şirketi olan Tykelab Srl tarafından geliştirildiği belirtiliyor. Araştırmacılar, bu casus yazılımın kullanılışının ilk olmadığını, 2019 yılında bir yolsuzlukla mücadele operasyonunda da kullanıldığını bildiklerini belirtiyorlar. Ayrıca araştırmacılar, aynı yazılımın Kuzeydoğu Suriye’de bilinmeyen bir aktör tarafından kullanıldığı ile ilgili de delillere ulaşmışlar.
30 yıldan fazladır aktif olarak operasyonlarını sürdüren RCS Lab’ın, NSO Group gibi bilinen aktörlerin yer aldığı aynı endüstride faaliyet gösterdiği belirtiliyor. RCS Lab, NSO Group yada benzer işleri yapan diğer aktörlerin temel iddiası bu tür yazılımları sadece istihbarat ve kolluk kuvvetleri gibi gözetim yazılımı için meşru kullanım hakkı olan müşterilere sattıklarını belirtiyorlar. Fakat yıllardır ortaya çıkan gerçeklerden sonra bu tür araçların özellikle diktatörlük rejimi olan ülkelerde (orta doğu ve asyadaki ülkeler özellikle) ulusal güvenlik kisvesi altında insan hakları aktivistlerini, gazetecileri, akademisyenleri, şirket yöneticilerini, muhalifleri ve diğer hükümet yetkililerini gözetlemek için kötüye kullanıldı.
İlk örnekler, Nisan ayı içerisinde keşfedildi
Araştırmacılar bu kampanya ile ilgili ilk örnekleri bu yılın Nisan aylarında keşfetmişler. Failler, kurbanların güvenini kazanabilmek için Çinli elektronik üreticisi OPPO’nun kimliğine bürünmüşler. Araştırmacılara göre failler, OPPO’dan geliyormuş gibi görünen ve aslında şirketin resmi Kazakça destek sayfasına (http://oppo-kz.custhelp[.]com) giden kötü niyetli bir bağlantının yer aldığı SMS mesajları gönderiyor. Bazı durumlarda ise Samsung ve Vivo’nun kimliğine bürünen örneklerde keşfedilmiş.
Kurbanlar, telefonlarına gelen mesajlarda yer alan bağlantıya tıkladıkları zaman, zararlı yazılım hedef makinenin arka planında eş zamanlı olarak indirilip, ülkenin başkenti Nur Sultan’da küçük bir hizmet sağlayıcısı tarafından barındırılan bir C2 sunucusuna bağlandığı tespit edilmiş. Lookout’taki güvenlik araştırmacısı Paul Shunk; “Kazakça konuşan kullanıcıların hedeflenmesi ve C2 sunucusunun konumunun birleşimi, kampanyanın Kazakistan’daki bir varlık tarafından kontrol edildiğinin güçlü bir göstergesidir” diye belirtiyor.
“Hermit”in ayak izlerine Kuzeydoğu Suriye’de rastlanıldı
Araştırmacılar, Kazakistan’daki örnekleri tespit etmeden önce Hermit’in pasif DNS kayıtlarından Kuzeydoğu Suriye’de yer alan Rojova’da kullanıldığına dair bazı referanslara ulaşmışlar. Araştırmacılar tarafından bulunan (rojavanetwork[.]info) domain adresinin, sadece Facebook ve Twitter’da yayınlar yapan “Rojava Network“ü özellikle taklit ettiğini belirtiyorlar.
“Hermit”in diğer bir ayak izine kurulduğu ülke olan İtalya’da da rastlandı
Bu casus yazılımı üreten şirketin İtalyan merkezli olduğu araştırmacılar tarafından keşfedilmişti. Yine yapılan araştırmalardan sonra İtalya’da da kullanıldığına dair referanslara ulaşılmış. İtalyan alt meclisi tarafından 2021’de yayınlanan bir belgeye göre, İtalyan makamları bunu bir yolsuzlukla mücadele operasyonunda potansiyel olarak kötüye kullanmış. Belgede, Hermit’in bir iOS sürümünden bahsedilip, RCS Lab ile Tykelab zararlı yazılımla ilişkilendirilmiş ve bu belgeninde araştırmacıların analizlerini doğruladığı belirtiliyor.
Wikileaks’e göre Hacking Team’in satıcısı konumundaydılar
Araştırmacılar, diğer pek çok casus yazılım satan şirketlerde karşılaştığı gibi RCS Lab ve müşterileriyle ilgili çok fazla bir bilgiye ulaşamamışlar. Ancak, 2015 yılında Wikileaks’te yayınlanan sızdırılmış belgeler arasında bazı bilgiler keşfetmişler. Bunlara göre RCS Lab, 2012 yılında Memento Labs olarak bilinen diğer bir casus yazılım üreticisi olan Hacking Team’in satıcısı konumundaymışlar. Bu yazışmalara göre RCS Lab’ın Pakistan, Şili, Moğolistan, Bangladeş, Vietnam, Myanmar ve Türkmenistan’daki askeri ve istihbarat teşkilatlarıyla ilişkisi bulunuyormuş. Bunun yanında başka bir diktatörlük rejimi olan Suriye ile de geçmiş dönemlerde anlaşmalar gerçekleştirmiş.
