İsrailli casus yazılım Candru ilgili neler biliniyor?

İsrailli casus yazılım Candru ilgili neler biliniyor?

CitizenLab'dan Veryansın TV için çeviren: Hasan Uluöz

Microsoft ile birlikte çalışan Toronto Üniversitesi'ndeki Citizen Lab, bilgisayarları ve telefonlara bulaştırılabilen "izlenemez" casus yazılımlar pazarlayan Tel Aviv merkezli Candiru adlı şirketin potansiyel hedeflerine dair bir çalışma yayımladı.
Raporda şirketin ürettiği casus yazılımları bulaştırmanın bir yolunun, sivil toplum kuruluşları, hak savunucularına, sağlık ve medya kuruluşlarına ait siteleri taklit etmek olduğu belirtiliyor. 

İşte o rapor:

Candiru İsrail'de faaliyet gösteren ve özel olarak hükümetlere casus programlar satan gizli bir şirkettir. Bu yazılımların iPhone, Android, Mac, PC ve bulut hesaplarını etkileyebileceği ve izleyebileceği bildiriliyor.
İnternet taramasını kullanarak, Candiru'nun casus yazılım altyapısıyla bağlantılı 750'den fazla web sitesi belirledik. Uluslararası Af Örgütü, Kara Yaşamlar Önemli hareketi gibi savunuculuk örgütleri, medya şirketleri ve sivil toplum temalı diğer kuruluşlar gibi birçok alan bulduk.
Batı Avrupa'da siyasi olarak aktif bir kurban tespit ettik ve Candiru'nun Windows casus yazılımının bir kopyasını ele geçirdik.
Casusluk yazılım, Microsoft Threat Intelligence Center (MSTIC) ile birlikte analiz edilerek CVE-2021-31979 ve CVE-2021-33771'in Microsoft tarafından keşfedilmesiyle sonuçlandı. Candiru'nun kullandığı, iki imtiyaz tırmandırma zafiyeti vardı. Microsoft her iki zafiyeti de 13 Temmuz 2021'de yamaladı.
Microsoft soruşturma kapsamında Filistin, İsrail, İran, Lübnan, Yemen, İspanya, İngiltere, Türkiye, Ermenistan ve Singapur'da en az 100 mağduru gözledi. Kurbanlar arasında insan hakları savunucuları, muhalifler, gazeteciler, eylemciler ve siyasiler yer alıyor.
Candiru casus yazılımının kalıcılık mekanizmasına ilişkin kısa teknik genel bakış ve casus yazılımın işlevselliği hakkında bazı ayrıntılar sunuyoruz.
Candiru mülkiyet yapısını, personel kadrosunu ve yatırım ortaklarını gizlemek için çaba sarf etti. Yine de bu alanlara raporumuzda biraz ışık tutabildik.

Candiru kimdir?

Merkezi Tel Aviv, İsrail'de bulunan "Candiru" olarak bilinen şirket, devlet müşterilerine "izlenemez" casus yazılım pazarlayan paralı bir casus yazılım şirketidir. Sundukları ürün, bilgisayarlarda, mobil cihazlarda ve bulut hesaplarında casusluk yapmaya yönelik çözümler içerir.

Kasıtlı Olarak Opak Bir Kurumsal yapı

Candiru, operasyonlarını, altyapısını ve personel kimliklerini kamuoyunun incelemesine kapalı tutmak için çaba göstermektedir. Candiru Ltd. 2014 yılında kurulmuştur ve birçok isim değişikliğine uğramıştır (bkz: Tablo 1). Birçok paralı casus yazılım şirketi gibi, şirketin de İsrail Savunma Kuvvetleri'nin sinyal istihbarat birimi olan Unit 8200 saflarından asker aldığı bildiriliyor.

Firmanın güncel ismi Saito Tech Ltd. olmakla birlikte biz onlara ‘Candiru’ adını vereceğiz, çünkü onlar o isimle biliniyorlar. Firmanın kurumsal logosu ise Candiru’nun meşhur ve ürkütücü balığının C harfine benzeyen bir silueti gibi görünüyor.

Eski bir çalışan tarafından açılan davanın sonuçlarına göre, Candiru kuruluşundan sonraki iki yıl içinde "yaklaşık 30 milyon dolar" satışa ulaştı. Firmanın bildirilen müşterileri "Avrupa, eski Sovyetler Birliği, Basra Körfezi, Asya ve Latin Amerika" ülkelerindedir. Ayrıca, birçok ülkeyle olası anlaşma raporları yayınlanmıştır:

Özbekistan: 2019'da Virüs Bülteni güvenlik konferansında yapılan bir sunumda, Kaspersky Lab araştırmacılarından biri Candiru'nun casus yazılımını Özbekistan Ulusal Güvenlik Servisi'ne satmış olabileceğini söyledi.
Suudi Arabistan ve BAE: Aynı sunumda Candiru müşterisi olma ihtimali olan Suudi Arabistan ve BAE de belirtildi.
Singapur: 2019 Intelligence Online raporu, Candiru'nun Singapur'un istihbarat servislerinden iş almaya başladığını göstermektedir.
Katar: Intelligence Online'ın 2020 yılı raporuna göre Candiru "Katar'a daha da yakınlaştı." Katar’ın ulusal varlık fonuyla bağlantılı bir şirket Candiru’ya yatırım yaptı. Katar merkezli müşterilerle ilgili henüz bir bilgi ortaya çıkmamış,

16 milyon Euro'luk proje teklifi, sınırsız sayıda casus yazılım bulaşma girişimine izin veriyor, ancak aynı anda yalnızca 10 cihazın izlenmesine izin veriyor. Ek 1,5 milyon Euro karşılığında müşteri, aynı anda 15 ek cihazı izleme ve tek bir ek ülkedeki cihazlara bulaştırma özelliğini satın alabilir. Ek 5.5 milyon € karşılığında, müşteri aynı anda 25 ek cihazı izleyebilir ve beş ülkede daha casusluk yapabilir.

Temaları Hedefleme

Candiru'nun hedefleme altyapısı incelendiğinde, potansiyel hedeflerin konumu hakkında tahminlerde bulunabiliyoruz. Candiru operatörlerinin hedeflerin uygun ve cazip bulacağına inandıkları konular ve temalar hakkında da tahmin yürütebiliyoruz.

Bu konulardan bazıları, hedeflemenin muhtemelen sivil toplum ve siyasi faaliyetle ilgili olduğunu öne sürüyor. Bu rahatsız edici gösterge, Microsoft'un Candiru'nun casus yazılımıyla sivil toplum, akademisyen ve medya üyelerini kapsamlı bir şekilde hedef aldığını gözlemlemesiyle de uyuşuyor. Medya, savunuculuk örgütleri, uluslararası kuruluşlar ve diğerleri olarak maskeli bir altyapı oluşturmaya yönelik kanıtları gözlemledik

Bu hedeflemenin, bu hareketle ilgilenen veya onunla bağlantılı kişileri hedef almak için kullanılabilecek olan kara yaşamlar alanı gibi birçok yönünü ilgili bulduk. Benzer şekilde, Uluslararası Af Örgütü ve Uluslararası Mülteci Örgütü gibi Altyapı maskeli insanlar ve Birleşmiş Milletler, Dünya Sağlık Örgütü ve diğer uluslararası örgütlerin benzer alanlarının olması endişe verici. Ayrıca cinsiyet çalışmalarının da hedeflenen temasının özellikle ilgi çekici olduğunu ve daha detaylı araştırma yapılmasını gerektirdiğini bulduk.


Endonezya indoprogress[.]co Sol eğilimli Endonezya yayını
Rusya poktarossi[.]bilgi Rus posta hizmeti
Çekya kupony-rohlik[.]cz Çek bakkaliye
Ermenistan menpress[.]net Ermenistan devlet haber ajansı
İran thrantimes[.]org İran'da İngilizce günlük gazete
Türkiye yeni-safak[.]com Türk gazetesi
Kıbrıs cyprusnet[.]tk Kıbrıs şirketleri hakkında bilgi veren bir portal.
Avusturya oiip[.]org Avusturya Uluslararası İlişkiler Enstitüsü
Filistin lwaeh-iteham-alasra[.]com İsrail'de Filistinli mahkumlarla ilgili iddianameleri yayınlayan web sitesi
Suudi Arabistan mbsmetoo[.]com "Jamal Khashoggi davasını destekleyecek uluslararası bir kampanya" ve Suudi Veliaht Prensi Muhammed bin Salman'a karşı diğer davalar için web sitesi
Slovenya total-slovenya-haberleri[.]net İngilizce Slovence haber sitesi.
Yukarıdaki ülkelerdeki candiru casus yazılımı bulunan yerler.

Sonuç

Candiru’nun yaygın varlığı ve izleme teknolojisinin küresel sivil topluma karşı kullanımı, paralı casus yazılım sektörünün çok sayıda oyuncu içerdiğini ve yaygın suistimale açık olduğunu güçlü bir şekilde hatırlatmaktadır. Bu durum, uluslararası güvenlik önlemleri veya güçlü devlet ihracat kontrollerinin olmadığı durumlarda, casus yazılım satıcılarının devlet müşterilerine hizmetleri rutin olarak kötüye kullanacak şekilde satış yapacağını bir kez daha göstermektedir. Sofistike izleme teknolojileri satın almaya hevesli pek çok hükümet, yerli ve yabancı güvenlik kurumları üzerinde güçlü korumalara sahip değil. Pek çoğu insan hakları sicillerinin zayıf olmasıyla karakterize edilir. Güçlü yasal kısıtlamaların olmaması halinde, bu tür devlet memurlarının gazetecileri, siyasi muhalefeti, insan hakları savunucularını ve küresel sivil toplumun diğer üyelerini izlemek için casus yazılım hizmetlerini kötüye kullanmaları şaşırtıcı değildir.