Yeni bir rapora göre, müşterilerinin sahte Android uygulamaları kullanarak gözetleme yazılımını hedeflere yüklemesinin ardından başka bir hükümet casus yazılım üreticisi yakalandı.
Perşembe günü, casus yazılımları araştıran İtalyan dijital haklar kuruluşu Osservatorio Nessuno, Morpheus adını verdiği yeni bir kötü amaçlı yazılım hakkında bir rapor yayınladı. Telefon güncelleme uygulaması gibi görünen casus yazılım, amaçlanan hedefin cihazından geniş bir yelpazedeki verileri çalabiliyor.
Araştırmacıların bulguları, kolluk kuvvetleri ve istihbarat teşkilatlarının casus yazılımlara olan talebinin o kadar yüksek olduğunu, bu teknolojiyi sağlayan çok sayıda şirketin bulunduğunu ve bunların bazılarının kamu spotu dışında faaliyet gösterdiğini gösteriyor.
Bu durumda, Osservatorio Nessuno, casus yazılımın, 30 yılı aşkın süredir faaliyet gösteren ve hükümetler tarafından bir kişinin telefon ve internet sağlayıcılarının ağları üzerinden akan gerçek zamanlı iletişimlerini yakalamak için kullanılan araçlar anlamına gelen geleneksel yasal müdahale teknolojisini sağlayan bir İtalyan şirketi olan IPS tarafından üretildiği sonucuna vardı.
IPS'in web sitesine göre şirket 20'den fazla ülkede faaliyet gösteriyor ancak bu muhtemelen bugüne kadar bir sır olan casus yazılım ürünüyle ilgili değil. Şirket, müşterileri arasında çok sayıda İtalyan polis teşkilatını listeliyor.
IPS, Tmzilla'ın raporla ilgili yorum yapma talebine yanıt vermedi.
Araştırmacılar Morpheus'u “düşük maliyetli” casus yazılım olarak adlandırdı çünkü bu yazılım, hedefleri kandırarak casus yazılımı kendi başlarına kurmalarını sağlayan temel enfeksiyon mekanizmasına dayanıyor.
NSO Group ve Paragon Solutions gibi daha gelişmiş devlet casus yazılım üreticileri, devlet müşterilerinin hedeflerine, sıfır tıklama saldırıları olarak bilinen, bir cihazın güvenlik savunmasını aşan pahalı ve bulunması zor güvenlik açıklarından yararlanarak kötü amaçlı yazılımı tamamen gizli ve görünmez bir şekilde yükleyen görünmez tekniklerle bulaşmalarına izin veriyor.
Bu durumda araştırmacılar, yetkililerin hedefin cep telefonu sağlayıcısından yardım aldığını ve bunun da hedefin mobil verilerini kasıtlı olarak engellemeye başladığını söyledi. Bu noktada telekomünikasyon sağlayıcısı hedefe bir SMS göndererek, telefonu güncellemelerine ve hücresel veri erişimini yeniden kazanmalarına yardımcı olması gereken bir uygulamayı yüklemelerini istedi. Bu, diğer İtalyan casus yazılım üreticilerinin dahil olduğu diğer vakalarda iyi bir şekilde belgelenen bir stratejidir.
Casus yazılım yüklendikten sonra, Android'in yerleşik erişilebilirlik özelliklerini kötüye kullandı; bu da casus yazılımın kurbanın ekranındaki verileri okumasına ve diğer uygulamalarla etkileşime girmesine olanak tanıyor. Araştırmacılara göre kötü amaçlı yazılım, cihazdaki her türlü bilgiye erişebilecek şekilde tasarlandı.
Casus yazılım daha sonra sahte bir güncelleme başlattı, hedefe yeniden başlatma ekranı gösterdi ve sonunda WhatsApp uygulamasını taklit ederek hedefin kendisi olduğunu kanıtlamak için biyometri bilgilerini sağlamasını istedi. Biyometrik dokunuş, hedefin haberi olmadan, hesaba bir cihaz ekleyerek casus yazılıma WhatsApp hesabına tam erişim izni verdi. Bu, Ukrayna'daki hükümet korsanlarının yanı sıra yakın zamanda İtalya'da yürütülen bir casusluk kampanyasında da kullanılan bilinen bir stratejidir.
Yeni bir casus yazılıma sahip eski bir şirket
Osservatorio Nessuno'nun sadece ilk isimleri olan Davide ve Giulio ile anılmasını isteyen araştırmacıları, casus yazılımın altyapısından yola çıkarak casus yazılımın IPS'ye ait olduğu sonucuna vardı.
Özellikle kampanyada kullanılan IP adreslerinden birinin “IPS İstihbarat Kamu Güvenliği”ne kayıtlı olduğu ortaya çıktı.
İkili ayrıca İtalyanca ifadeler içeren birkaç kod parçası da buldu; bu, görünüşe göre İtalyan casus yazılım endüstrisinde gelenek haline gelmiş bir şey. Kötü amaçlı yazılım kodu, Napoliten mafyası hakkındaki ünlü kitap ve TV programı Gomorra'ya ve “spagetti”ye göndermeler de dahil olmak üzere İtalyanca kelimeler içeriyordu.
Davide ve Giulio, Tmzilla'a hedefin kim olduğuna dair ayrıntılı bilgi veremeyeceklerini söylediler ancak saldırının, “bu tür hedefli saldırıların günümüzde çok yaygın olduğu” bir dünya olan İtalya'daki “siyasi aktivizmle ilgili” olduğuna inandıklarını söylediler.
Bir siber güvenlik firmasındaki bir araştırmacı Tmzilla'a şirketlerinin bu özel kötü amaçlı yazılımı takip ettiğini söyledi. Osservatorio Nessuno raporunu inceledikten sonra araştırmacı, kötü amaçlı yazılımın kesinlikle bir İtalyan gözetim teknolojisi üreticisi tarafından geliştirildiğini söyledi.
IPS, dünyadaki ilk casus yazılım üreticilerinden biri olan ve uzun süredir faaliyet göstermeyen İtalyan şirketi Hacking Team'in bıraktığı boşluğu dolduran İtalyan casus yazılım üreticilerinin uzun listesinin en sonuncusudur. Şirket, saldırıya uğramadan önce yurt dışına satış yapmak ve daha sonra satılıp yeniden markalanmak dışında yerel pazarın büyük bir bölümünü kontrol ediyordu. Son yıllarda araştırmacılar, aralarında CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab ve son olarak SIO'nun da bulunduğu birçok İtalyan casus yazılım üreticisini kamuoyuna açıkladı.
Bu ayın başlarında WhatsApp, uygulamanın sahte bir sürümünü yükleyen yaklaşık 200 kullanıcıyı bilgilendirdi; bu sürüm aslında SIO tarafından yapılmış bir casus yazılımdı. 2021 yılında İtalyan savcılar, ciddi arızalar nedeniyle CY4GATE ve SIO casus yazılımlarının kullanımını askıya aldı.
Makalelerimizdeki bağlantılar aracılığıyla satın aldığınızda küçük bir komisyon kazanabiliriz. Bu bizim editoryal bağımsızlığımızı etkilemez.
Bir yanıt yazın