Türkiye’de de kullanıldığı iddia edilen İsrailli
casus yazılımla ilgili neler biliniyor?
Euronews • Son güncelleme: 16/07/2021
Kanada merkezli Citizen Lab çalışma gurubu, Microsoft’un hacklenmesine yardımcı olabilecek bir siber casus yazılımının İsrailli bir grup tarafından üretilip satıldığını belirtti.
Bu yazılımın aralarında Türkiye’nin de bulunduğu birçok ülkede hükümetler tarafından siyasetçilerin, muhaliflerin, gazetecilerin, akademisyenlerin ve insan hakkı aktivistlerinin izlenmesi amacıyla kullanıldığı öne sürüldü.
İsrailli casus yazılımıyla ilgili ne biliyoruz?
5 soruda İsrailli bir grup tarafından getirildiği ve satıldığı belirtilen casus yazılımı:
1- Nerelerde kullanılabiliyor?
Citizen Lab, yazılımın öncelikle Microsoft’u hedef aldığını belirtiyor ancak Gmail, Skype, Telegram ve Facebook gibi farklı uygulamaların kullanıcılarından da bilgi elde edebildiğini tespit etti.
Microsoft da “Şeytanın Dili” olarak tanımladığı casus yazılımın Facebook, Twitter, Gmail ve Yahoo gibi popüler sitelere girebildiğini belirtti.
2- Neler yapabiliyor?
Casus yazılımı internetteki arama geçmişini, şifreleri görebiliyor ve cihazın kamera ve mikrofonunu çalıştırabiliyor, hedefteki kurban adına mesaj gönderebiliyor.
3- Hangi ülkelerde kullanıldı?
Microsoft kendi uygulamaları açısından yazılımın Filistin, İsrail, Lübnan, Yemen, İspanya, İngiltere, Türkiye, Ermenistan ve Singapur’da kurbanları olduğunu belirlediklerini açıkladı.
Casus yazılımın dünya çapında sayısız isimsiz müşterisi bulunduğu ve bu müşterilerin aralarında Suudi muhaliflerin, Endonezya’da sol eğilimli bir haber kuruluşunun da bulunduğu birçok sivil kuruluşun olduğu bildiriliyor.
4- Kim satıyor?
Casus yazılımını geliştiren ve satan şirketin Candiru adlı Tel Aviv merkezli küçük bir şirket olduğu belirtiliyor.
Microsoft’un şirketten Candiru yerinde Sourgum kod adıyla bahsediyor. Microsoft’un blog sayfasında “Sourgum genellikle çoğu dünya çapındaki hükümet kurumları olan müşterilerine bilgisayarlara, telefonlara, ağ altyapısına ve internet bağlantılı cihazlara hedefleyerek şifrelerinin çözülmesinde (Hackleme) sağlayan siber silahlar satıyor” deniliyor.
5- Microsoft yazılıma karşı ne yaptı?
Amerikan bilgisayar şirketi Microsoft iddialar karşısında Windows işletim sisteminde İsrailli grup tarafından kullanılan açıkları gidererek değişiklikler yaptığını belirtti.
Microsoft, güvenlik üzerine çalışanların bu tehdidin üzerine toplu şekilde eğilebilmesi ve mücadele edebilmesi için Sourgum’a karşı geliştirdikleri korumaları paylaştıklarını açıkladı.
Citizen Lab’in çalışması şirketin Google’ı da hedef aldığını belirtmesinin ardından Google yıl içinde iki açığıyla ilgili güçlendirme yaptı.
Citizen Lab kimdir?
Kanada’daki Toronto Üniversitesi bünyesinde kurulan Citizen Lab (Vatandaş Laboratuvarı) Munk Küresel İlişkiler ve Kamu Siyaseti Okulu’nda disiplinler arası bir laboratuvar olarak faaliyet gösteriyor. Çalışma alanı bilgi ve iletişim teknolojileri, insan hakları ve küresel güvenlik. Bu alanlarda araştırma, geliştirme ve yüksek düzeyli siyaset ve yasal düzenleme üzerinde çalışıyor.
Çalışmalarında siyaset bilimi, hukuk, bilgisayar bilimleri ve diğer alanları birleştiren karmaşık bir metot izlediğini belirten Citizen Lab, sivil topluma karşı araştırmacı casus, internet filterelemenin belgelendirilmesi ve diğer çevrimiçi ifade özgürlüğü, teknonoloji ve uygulamaları kullanarak kişisel gizliliğin, güvenliğin ve bilgi kontrolünün analizi, şeffaflığın değerlendirilmesi ve kurumlarla devlet arasında ilişkinin kişisel veriler ve diğer izleme faaliyetleri açısından hesap verilebilirlik mekanizması gibi alanlarda araştırmalarını yürütüyor.
Microsoft: Israeli firm used Windows zero-days to deploy spyware
By Sergiu Gatlan – July 15, 2021
Microsoft: İsrailli firma casus yazılım dağıtmak için Windows sıfır günlerini kullandı
Microsoft ve Citizen Lab, İsrail casus yazılım şirketi Candiru’yu (aynı zamanda Sourgum olarak da isimlendirilir), şimdi yamalı Windows sıfır gün güvenlik açıkları kullanılarak dağıtılan DevilsTongue adlı yeni Windows casus yazılımına bağladı.
Citizen Lab bugün yayınlanan bir raporda, “Candiru, yalnızca hükümetlere casus yazılım satan İsrail merkezli gizli bir şirkettir” dedi. “Bildirildiğine göre, casus yazılımları iPhone’lara, Android’lere, Mac’lere, PC’lere ve bulut hesaplarına bulaşabilir ve bunları izleyebilir.”
Microsoft, “Sourgum genellikle müşterilerinin, genellikle dünya çapındaki devlet kurumlarının, hedeflerinin bilgisayarlarına, telefonlarına, ağ altyapılarına ve internete bağlı cihazlarına girmelerini sağlayan siber silahlar satıyor” dedi. “Bu ajanslar daha sonra kimi hedef alacaklarını ve asıl operasyonları kendileri yürüteceklerini seçerler.”
Microsoft araştırmacıları, “siyasetçiler, insan hakları aktivistleri, gazeteciler, akademisyenler, büyükelçilik çalışanları, ve siyasi muhalifler.”
Soruşturma, Citizen Labs’in bir kurbanın sistemlerinde bulunan kötü amaçlı yazılım örneklerini paylaşmasının ardından başladı ve bu ayın Salı Yaması sırasında Microsoft tarafından düzeltilen iki sıfır gün güvenlik açığı olan CVE-2021-31979 ve CVE-2021-33771’in keşfedilmesine yol açtı.
Citizen Lab ayrıca İnternet taramasını kullanarak 750’den fazla siteyi Candiru’nun casus yazılım altyapısına bağladı.
Ayrıca, bu alan adlarının çoğunun, Uluslararası Af Örgütü ve Kara Hayat Önemlidir hareketi de dahil olmak üzere medya şirketlerini ve savunuculuk kuruluşlarını temsil eden alanları taklit edecek şekilde tasarlandığını da buldular.
Candiru’nun casus yazılımı Saldırganlar, birkaç popüler tarayıcıdaki ve Windows işletim sistemindeki güvenlik açıklarını kötüye kullanan bir istismar zinciri kullanarak DevilsTongue kötü amaçlı yazılımını kurbanların bilgisayarlarına teslim etti.
DevilsTongue, operatörlerinin kurbanların dosyalarını toplamasına ve çalmasına, Windows cihazlarda Signal mesajlarının şifresini çözmesine ve çalmasına ve LSASS ve Chrome, Internet Explorer, Firefox, Safari ve Opera web tarayıcılarından çerezleri ve kayıtlı şifreleri çalmasına izin verir. Ayrıca, Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki ve Vkontakte gibi web siteleri için kurbanın bilgisayarında saklanan çerezleri, kurbanlarının mesajlarını okumak ve fotoğrafları sızdırmak için kullanabilir.
DevilsTongue ayrıca, bu web sitelerinin bazılarında kurban olarak, herhangi bir alıcıya kurbanın bu mesajları gönderdiğini gösteren mesajlar gönderebilir” dedi. ” Bu yetenek, Candiru’nun casus yazılımını kullanan tehdit aktörlerinin kurbanlarının cihazlarından kötü niyetli bağlantılar veya mesajlar göndermesine izin vererek mesajı kimin ilettiğini kanıtlamayı neredeyse imkansız hale getirebilir.
Microsoft’un Dijital Güvenlik Birimi Genel Müdürü Cristin Goodwin, “Bu saldırılar büyük ölçüde tüketici hesaplarını hedef aldı, bu da Sourgum’un müşterilerinin belirli kişileri takip ettiğini gösteriyor” dedi. “Bu hafta yayınladığımız korumalar, Sourgum araçlarının zaten virüs bulaşmış bilgisayarlarda çalışmasını engelleyecek ve güncellenmiş bilgisayarlarda ve Microsoft Defender Antivirus çalıştıranların yanı sıra Microsoft Defender for Endpoint kullananlarda yeni enfeksiyonları önleyecektir.”