İsrailli casus yazılım şirketi Candiru'nun faaliyetleri CitizenLab tarafından deşifre edildi

İsrailli casus yazılım şirketi Candiru'nun faaliyetleri CitizenLab tarafından deşifre edildi

Casus yazılımları sadece hükümetlere satan İsrail merkezli şirket Candiru, geliştirdiği yazılımlarla platform fark etmesizin iPhone, Android, Pc, MacOS ve Cloud (bulut) hesaplarına erişebildiği izleyebildiği belirtiliyor.

CitizenLab’ın araştırmasına göre: Merkezi İsrail’in Tel Aviv şehrinde bulunan şirketin, geliştirdiği yazılımlarla platforma fark etmesizin iPhone, Android, Pc, MacOS ve Cloud (bulut) hesaplarına erişebildiği ve ve izleyebildiği belirtiliyor. 2014 yılında kurulan şirketin, eski bir çalışanın açtığı davaya göre kuruluşundan sonraki iki yıl içinde yaklaşık 30 Milyon Dolar’lık satış yaptığı belirtiliyor. Bununla birlikte Pegasus adlı casus yazılımıyla bilinen NSO Group’un erken yatırımcılarından biri olan Isaac Zack, Candiru’nun kuruluşundan iki ay gibi kısa bir süre sonra şirketin en büyük hissedarlarından biri olduğu belirtiliyor.

CitizenLab araştırmacıları 2021 yılında, Censys’den geçmiş verileri araştırıp, kendi taramalarını gerçekleştirmiş. Yapılan taramalar ve analizlerden sonra Candiru ve müşterileri tarafından kullanılmak üzere -kendi belirlediklere kriterler göre- orta-yüksek derecede az 750 tane web sitesi keşfedilmiş. Bu alan adlarına dair yapılan analizlerde Asya, Avrupa, Orta Doğu ve Kuzey Amerika’daki hedeflere olası bir ilgi olduğunu gözlemlemişler. Bu web sitelerinin Uluslararası Af Örgütü, medya şirketleri, sivil toplum kuruluşları ve BlackLives Matter hareketi gibi savunucu maskesi altında faliyet gösterdiği belirtiliyor. Kontrolleri altındaki bazı sistemlerin Suudi Arabistan, İsrail, BAE, Macaristan ve Endonezya’dan işletildiği belirtiliyor.

MSTIC iki yeni güvenlik açığını tespit etmiş

Bununla birlikte Batı Avrupa’da politik olarak aktif bir kurban belirlendiğinin ve ilgili kişiden alınan veriler ışığında Candiru’nun Windows casus yazılımının bir kopyasınının elde edildiği belirtiliyor. CitizenLab araştırmacıları, Microsoft Tehdit İstihbarat Merkezi (MSTIC) ile birlikte bir çalışma gerçekleştirerek casus yazılımın analizini gerçekleştirmişler. Buna göre Microsoft araştırmacıları, casus yazılımın operasyonlarında yararlandığı CVE-2021-31979 ve CVE-2021-33771 adında iki tane ayrıcalık yükselme güvenlik açığını tespit etmiş. Ve 13 Temmuz 2021’de yayınlana güncellemelerle bu iki güvenlik açığını kapatmışlar.

Google’ın TAG Araştırması ve Sıfırıncı Gün Açıkları

14 Temmuz 2021 günü Google’ın TAG ekibi tarafından, Chrome’da keşfedilen iki adet sıfırıncı gün istismarının yer aldığı bir rapor yayınlandı. CVE-2021-21166 ve CVE-2021-30551 adındaki bu iki zafiyet, uzaktan kod yürütülmesine olanak sağlıyor. TAG ekibi bu iki zafiyetinde Ermenistan’daki hedefler için olduğunu düşünüyor ve kurbanlara gönderilen e-postalarda tek seferlik bir bağlantı yakalanmış. TAG ekibinin analizleri sonrasında ortaya çıkan IP adreslerinin bazıları, CitizenLab ekibin elde ettiği IP adresler ile eşleşmiş. Bu yüzden CitizenLab, Google’un bulduğu bu iki sıfırıncı gün istismarının Candiru’ya ait olduğunu düşünüyor.

Türk Savunma Sanayisi Hedefte

Casus yazılımın hedef aldığı kullanıcıların ülkelere göre araştırmasında Filistin, İsrail, İran, Lübnan, Yemen, İspanya, Birleşik Krallık, Türkiye, Ermenistan ve Singapur öne çıkıyor. Belirtilen bu ülkelerde aralarında insan hakları savunucuları, muhalifler, büyükelçilik çalışanları, gazeteciler, aktivistler ve politikacıların yer aldığı en az 100 kurban olduğu gözlemlenmiş.

CitizenLab araştımacıları, Candiru’nun hedefleme altyapısıyla ilgili yaptığı çalışmalarda Türkiye’yi ilgilendiren iki şirket yer alıyor. Bir tanesi savunma sanayi diğeri de medya şirketlerinden biri olarak yer alıyor. Raporda yer alan bu iki şirketin ana domainlerine çok yakın domainler alınmış:

Vestel Savunma: vesteldefnce[.]io
Yeni Şafak: yeni-safak[.]com

Bunlar ilginizi çekebilir

İllegal pazar yeri platformu PopeyeTools ele geçirilip, kapatıldı

İllegal pazar yeri platformu PopeyeTools ele geçirilip, kapatıldı

Çalıntı kredi kartı numaraları ve diğer siber suçluların ihtiyaç duyduğu başka araçlarında satışını gerçekleştiren PopeyeTools adlı illegal pazar yeri platformun kurucusu iddia edilen üç kişiye yönelik suçlamalardan sonra platform, ABD Adalet Bakanlığı tarafından kapatıldı. PopeyeTools adlı yasadışı pazar yeri platformuna federal hükümet tarafından el koyulduktan sonra Afganistan uyruklu Javed Mirza

By Editor
Apple, Intel tabanlı Mac'lere yönelik kullanılan iki 0-Day için güncelleştirme duyurdu

Apple, Intel tabanlı Mac'lere yönelik kullanılan iki 0-Day için güncelleştirme duyurdu

Apple, Intel tabanlı Mac sistemlerine yönelik saldırılarda tehdit aktörleri tarafından istismar edilen iki tane sıfırıncı gün açığı (0-Day) ile ilgili acil güvenlik güncellemeleri yayınladı. Şirket tarafından yayınlanan ayrıntılara göre MacOS Sequoia'da CVE-2024-44308 olarak izlenen JavaScriptCore ve CVE-2024-44309 olarak izlenen WebKit bileşenlerinde zafiyetler yer alıyor. Bu iki zafiyette Google

By Editor
Siber tehdit istihbaratı girişimi ThreatMon, Pragma Capital Partners'tan yatırım aldı

Siber tehdit istihbaratı girişimi ThreatMon, Pragma Capital Partners'tan yatırım aldı

Siber tehdit istihbaratı alanınında çözümler sunan ThreatMon, Pragma Capital Partners'tan (PCP) yatırım aldı. Gerçekleşen yatırım ile ilgili herhangi bir finansal veri paylaşılmadı. 2018 yılında kurulan ThreatMon'un verdiği hizmetler arasında atak yüzeyi istihbaratı, siber tehdit istihbaratı, marka koruması, darkweb izleme ve tedarik zinciri gibi alanlar yer alıyor

By Editor