Google güvenlik araştırmacıları yeni bir rapor yayınlayarak, dünya genelindeki hükümetlerin, gazetecileri ve insan haklarını hedef alan kötü amaçlı yazılımları geliştiren ticari casus yazılım endüstrisi ile mücadeleye davet etti. Bazı hükümetlere aslında bu yazılımların müşterileri oldukları için endüstri, güvenlik uzmanlarının yetişebileceğinden daha hızlı gelişiyor.
Google’ın kullanıcılarına yönelik saldırılarla mücadele etmek için kurduğu Tehdit Analizi Grubu, raporunda şu anda yaklaşık 40 ticari casus yazılım satıcısını izlediklerini söyledi; bu, sektörün ne kadar büyüdüğünü ve gelişmiş casus yazılım yeteneklerinin nasıl çoğaldığını gösteriyor. Raporda, sektörün her yıl yeni şirketlerin mağaza açması ve kurulan şirketlerin yeni isimler altında yeniden birleşmesiyle büyüdüğünü belirtiliyor.
Ticari casus yazılım satıcıları, kurum içi siber uzmanlığa sahip olmayan hükümetler için son derece etkili ve hedefe yönelik gözetim sağlıyor. Bu firmalar, sektörde “sıfırıncı gün” olarak takip edilen, daha önce tespit edilmemiş güvenlik açıklarını silah haline getirmek için olağanüstü kaynaklar ayırıyor ve bunları müşterilerin gözetim amacıyla kullanımına sunuyor.
Araştırmacılar, 2023’te keşfedilen 25 sıfırıncı gün açığının 20’sinin ticari casus yazılım satıcıları tarafından istismar edildiğine dikkat çekti.
Salı günkü raporda, ABD hükümetinin casus yazılım kullanımını sınırlayan 2023 kararnamesi ve önemli satıcılara karşı yaptırımlar alkışlandı ancak yaygın insan hakları ihlallerine karışan bir sektörü düzenlemek için daha fazlasının yapılabileceği belirtildi. Rapor, ABD hükümetinin daha fazla bilgi paylaşmasını, ayrıca “yerel gözetleme endüstrisi için daha yüksek şeffaflık gereklilikleri belirlemesini ve bunların kendi tarihsel kullanımını inceleyip açıklayarak diğer hükümetlere örnek oluşturmasını” tavsiye ediyor.
Araştırmacılar ayrıca ABD hükümetine “casus yazılım satıcılarının ABD’de faaliyet gösterme ve ABD yatırımı alma yeteneğini sınırlamak için daha fazla yaptırım” uygulaması çağrısında bulundu. Bu endüstrinin zararları bu noktada fazlasıyla ortada ve bunların, sürekli kullanımın getireceği faydalardan daha ağır basacağına inanıyoruz.”
Pazartesi günü ABD Dışişleri Bakanlığı , ticari casus yazılımların kötüye kullanılmasına karışan ABD’ye seyahat etmek isteyen kişilerin vizelerini reddetmeye başlayacağını duyurdu. Ancak politikanın pratik etkisi net değil ve ismi açıklanmayan bir yönetim yetkilisi gazetecilere, bu hareketin “bu sektörde yer alanlar için önemli bir sinyal” olduğunu söyledi.
Son yıllarda ticari casus yazılım firmalarının gözetim yeteneklerini hükümetlere nasıl sattığını ve bunları muhaliflere, muhalif politikacılara ve gazetecilere karşı kullanmaya devam ettiğini belgeleyen çok sayıda hükümet, STK ve gazetecilik raporlarına rağmen, sektörün büyüdüğü görülüyor.
Google raporunda yer alan vaka çalışmaları arasında Salvadorlu araştırmacı haber kuruluşu El Faro’nun kurucu ortağı ve yöneticisi Carlos Dada da yer alıyor. Citizen Lab analizine göre, Dada’nın ve 21 meslektaşının telefonuna Haziran 2020 ile Kasım 2021 arasında bilinmeyen bir hükümet müşterisi tarafından Pegasus bulaştırıldı. Tabii ki Başkan Nayib Bukele liderliğindeki El Salvador hükümeti şüpheli durumunda. El Faro çalışanları, müşterinin kim olduğunu bilmek talebiyle Aralık 2022’de ABD federal mahkemesinde NSO Group’a dava açtı. Süreç şu anda Kaliforniya’nın Kuzey Bölgesi’ndeki federal mahkemede devam ediyor.
Bukele hükümeti NSO Group veya Pegasus casus yazılımıyla herhangi bir bağlantı olduğunu reddetti . Bukele bu hafta başlarında yeniden seçildi.