Hükümetlere casus yazılım satan bir İsrail şirketinin, Black Lives Matter ve Uluslararası Af Örgütü gibi kuruluşlara aitmiş gibi görünen ve bilgisayar korsanlığı için kullanılan sahte sitelerle bağlantılı olduğu belirtildi.
Microsoft ile birlikte çalışan Toronto Üniversitesi’ndeki Citizen Lab, bilgisayarları ve telefonlara bulaştırılabilen “izlenemez” casus yazılımlar pazarlayan Tel Aviv merkezli Candiru adlı şirketin potansiyel hedeflerine dair bir çalışma yayımladı.
Raporda şirketin ürettiği casus yazılımları bulaştırmanın bir yolunun, sivil toplum kuruluşları, hak savunucularına, sağlık ve medya kuruluşlarına ait siteleri taklit etmek olduğu belirtiliyor. Candiru’yla bağlantılı sahte siteler arasında, bu tür kuruluşların adlarını taklit eden “Amnesty Reports”, “Refugee International”, “Woman Studies”, “Euro News” ve “CNN 24-7” olduğu ifade ediliyor.
Araştırmacılar, bu sahte sitelerle nerelerin hedef alındığını açıklamadı ve şirketin herhangi bir devlet aktörü müşterisinin rol oynayıp oynamadığını teyit etmedi.
Microsoft ise Candiru’nun bilgisayar korsanlığını mümkün kılan casus yazılımları sattığını ve kimlerin hedef alınacağına genelde hükümetlerin karar verdiğini ve operasyonu kendilerinin yürüttüğünü belirtti.
Güvenlik tehditlerini ve siber silahları takip eden Microsoft’un tehdit istihbarat merkezi de, kendi yaptığı analizde, Candiru’yla bağlantılı yazılımlarla hedef alınan en az 100 aktör belirlediğini belirtti. Bunlar arasında siyasetçiler, insan hakları savunucuları, gazeteciler, akademisyenler, elçilik çalışanları ve siyasi muhalifler de bulunduğunu bildirdi.
Türkiye dahil bir çok ülkede hedefler
Microsoft hedeflenenlerin Türkiye, İspanya, İngiltere, Filistin, İsrail, İran, Lübnan, Yemen, İspanya, Türkiye, Ermenistan ve Singapur’da olduklarını bildirdi.
Şirket, Candiru’nun siber silahlarının etkisiz hale getirildiğini ve Windows işletim sisteminde yapılan bir güncellemeyle koruma sağlandığını da açıkladı.
Uzmanlara göre, güvenilir kaynaklardanmış gibi görünen internet sitesi linklerine tıklayan aktivistler, normal içeriği bulunan bir siteye ya da başka bir yere yönlendiriliyor. Arka planda çalışan casus yazılım da sessizce bilgisayarların kontrolünü ele alıyor.
Yazılımla hükümetlerin, hiç fark edilmeden şifreleri ve belgeleri çalabileceği ve kurbanların etrafını dinleyebilecek bir mikrofon sistemi çalıştırabileceği de kaydediliyor.
Citizen Lab’in araştırmasında 2014’te kurulan ve birkaç kez isim değiştiren Candiru hakkında kamuya açık çok az bilgi olduğu kaydediliyor.
Şu anda resmen Saito Tech Ltd. adıyla kayıtlara geçen şirketin hala Candiru olarak bilindiği, İsrail basınındaki bir habere göre 2017’de 30 milyon dolarlık satış yapan şirketin Körfez bölgesinde, Batı Avrupa’da ve Asya’da müşterileri bulunuyor. Forbes dergisi de Candiru’nun Özbekistan, Suudi Arabistan, Birleşik Arap Emirlikleri’yle anlaşma yapmış olabileceğini yazdı.
Citizen Lab, şirkete ait sızan bir teklif belgesine göre Candiru’nun müşterilerine hedeflerin ele geçirilmesi için hiperlinkler, fiziksel saldırılar ve “Sherlock” adlı bir program önerdiğini, Sherlock’un tam olarak ne yaptığının bilinmediğini kaydediyor. Ancak teklif belgesine göre bu ürünlerin ABD, Rusya, Çin, İsrail ya da İran’da kullanılmayacağı belirtiliyor. Fakat Microsoft, İsrail ve İran’da da bilgisayar korsanlığı mağdurlarının bulunduğunu söylüyor.
