Google’ın Tehdit Analizi Grubu (TAG) bugün, Android ve Apple iOS cihazlarının yanı sıra Google’ın Chrome tarayıcısındaki korumaları atlatacak sıfırıncı gün güvenlik açıklarının yanı sıra bilinen ancak yama uygulanmamış güvenlik açıklarından yararlanan iki “sınırlı ve yüksek oranda hedeflenmiş” casus yazılım kampanyasını ortaya çıkardı.
Şirket, bu casus yazılımların satıcılarını açıklamadı, ancak kampanyalardan birinin, Google’ın Kasım 2022’de İspanyol casus yazılım firması Variston IT tarafından ortaya çıkardığı ile aynı olan açılış sayfasına yönlendiren bir bağlantı kullandığını söyledi. Dolayısıyla bunun bir Variston müşterisi veya ortağı olabileceğini kaydedildi.
Google’ın raporu, bu kampanyada hedef alınan kurbanların sayısını veya onlarla ilgili diğer ayrıntıları veya kampanyaların detaylarını henüz vermiyor. Yalnız TAG araştırmacıları şunu belirtiyor :
“Bu kampanyalar, ticari casus yazılım endüstrisinin gelişmeye devam ettiğini gösteriyor. Daha küçük gözetleme sağlayıcılarının bile sıfırıncı-günlere erişimi var ve satıcıların sıfırıncı-gün güvenlik açıklarını gizli olarak stoklaması ve kullanması İnternet için ciddi bir risk oluşturuyor. Bu kampanyalar ayrıca, gözetleme sağlayıcıların arasında tehlikeli bilgisayar korsanlığı araçlarının çoğalmasına olanak tanıyacak şekilde, açıklardan yararlanma ve tekniklerin paylaşıldığını gösteriyor olabilir.
Bu satıcılar, tehlikeli bilgisayar korsanlığı araçlarının çoğalmasını sağlıyor ve bu yetenekleri şirket içinde geliştiremeyecek hükümetleri silahlandırıyor. Gözetleme teknolojilerinin kullanımı ulusal veya uluslararası yasalar kapsamında yasal olsa da, hükümetler tarafından genellikle muhalifleri, gazetecileri, insan hakları çalışanlarını ve muhalefet partisi politikacılarını hedef almak için kullanıldığı tespit edildi.”
Araştırmacılar, Google’ın devlet destekli aktörlere güvenlik açıkları veya gözetleme yetenekleri satan farklı düzeylerde karmaşıklık ve kamuya ifşa ile yapan 30’dan fazla satıcıyı izlediğini söyledi.
Bitly Bağlantı Kısaltma Hizmeti Kullanan İstismar
Google’ın Google’da yayınladığı ilk kampanya, Kasım 2022’de keşfedildi ve Bitly bağlantı kısaltma hizmeti aracılığıyla İtalya, Malezya ve Kazakistan’daki hedeflere gönderilen Android ve iOS cihazlarını hedef alan istismarları içeriyordu. Araştırmacılar, hedef bağlantıyı tıkladığında, onları Android veya iOS için açıkları barındıran sayfalara ve ardından gönderileri takip eden bir sayfa veya popüler bir Malezya haber sitesi gibi meşru web sitelerine yönlendirdiğini yazdı.
Bu kampanyanın iOS hedeflemesi, yama uygulanmış bir sıfır gün açığının yanı sıra diğer iki bilinen açıktan yararlanma yöntemini kullandı. Bu açıklardan biri, Toronto merkezli dijital haklar grubu Citizen Lab tarafından Aralık 2021’de yayınlanan bir blog gönderisinde ortaya çıkan, casus yazılım firması Cytrox tarafından Predator casus yazılımının bir parçası olarak kullanılan bir tekniği kullandı. Apple, Mart 2022’de hata için bir düzeltme yayınladı. Android hedeflemesi ayrıca bir sıfır gün hatasına ve bilinen iki güvenlik açığına dayanıyordu.
Tek Seferlik Bağlantıları Kullanan İstismar
Google araştırmacıları, Aralık 2022’de Birleşik Arap Emirlikleri’ndeki cihazları hedefleyen tek seferlik bağlantıları kullanan ikinci kampanyayı keşfetti. Bu kampanya, kullanıcıları Variston IT tarafından geliştirilen Heliconia çerçevesiyle ilişkili açılış sayfasına yönlendirdi. Çerçeve, Kasım 2022’de anonim bir kullanıcı, Google’ın Chrome hata raporlama programına üç farklı güvenlik açığıyla ilgili Variston kaynak kodunu yüklediğinde ortaya çıktı.
Google araştırmacıları, Aralık ayında keşfedilen casus yazılımların, çeşitli sohbet ve tarayıcı uygulamalarından verilerin şifresini çözmek ve yakalamak için kütüphaneler içerdiğini söyledi.
Casus Yazılımlar Konusunda Küresel Yasal Çerçeve Eksik
Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’na göre, 2.kampanya en az 2020’den beri aktifti ve mobil ve masaüstü hizmetleri hedefliyordu. Af Örgütü, istismarların 1.000’den fazla kötü amaçlı alandan oluşan bir ağdan teslim edildiğini söyledi ve BAE’deki hedeflemenin yanı sıra Endonezya, Beyaz Rusya ve İtalya’da kampanyayla ilgili ek faaliyetlerin tespit edildiğini kaydetti.
Af Örgütü ekibi, GitHub’da alan adları da dahil olmak üzere kampanyayla ilgili ayrıntıları ve teknik göstergeleri paylaştı ve şöyle bir açıklama yaptı:
“Casus yazılımların dünya çapında gazetecileri, insan hakları savunucularını ve politikacıları hedef almak için kullanıldığını ortaya çıkaran Pegasus Projesi’nin ardından, bu ihlalleri önlemek ve dijital çağda insan haklarını korumak için küresel bir yasal çerçeve bulunana kadar casus yazılım teknolojilerinin geliştirilmesi, kullanılması, aktarılması ve satışı konusunda acilen uluslararası bir moratoryuma ihtiyaç duyulmaktadır.
Gözetleme teknolojilerinin kullanımı şu anda çoğu ulusal veya uluslararası yasa kapsamında yasal durumda. Bu nedenle de hükümetler bu yasaları ve teknolojileri, muhalif olan bireyleri hedef almak için kötüye kullanabiliyor. Bununla birlikte, hükümetlerin NSO Group‘un Pegasus mobil casus yazılımını iPhone kullanıcılarını hedef almak için kötüye kullandığının açığa çıkması nedeniyle bu suiistimal uluslararası inceleme altına alındığından beri, düzenleyiciler ve satıcılar benzer şekilde ticari casus yazılımların üretimi ve kullanımı konusunda sert önlemler alıyorlar .
28 Mart’ta Biden yönetimi, casus yazılımları tamamen yasaklamayan, ancak federal hükümet tarafından ticari gözetim araçlarının kullanımını kısıtlayan bir yürütme emri çıkardı.