Yazılar

Polis kameralarına bulaşan gizli Virus

polis-kameralarina-bulasan-gizli-virusPolislerin üzerlerine takılarak görev ve operasyon görüntülerini kaydeden kameralarda zararlı yazılım tespit edildi.

ABD’nin Florida eyaletinde faaliyet gösteren iPower Technologies ismindeki firma polislerin üzerine takılan Martel Frontline Camera adında GPS’li bir ürün üretmekte. Aynı zamanda iPower firması polis departmanları ve diğer devlet kurumları için bulut bağlantılı video depolama hizmeti de sunuyor. Videolar bulut üzerinde arşivlenerek buradan arama ve erişim sağlanıyor.

Fakat Martel Electronics firmasının ürünlerini analiz eden uzmanlar çarpıcı bazı sonuçlarla karşılaştılar. Polislerin üzerlerine taktığı iPower serisi kameralarda ön yüklü olarak Win32/Conficker.B!inf solucan virüsü tespit edildi. Kamera bilgisayara bağlandığında antivirus programları kolayca zararlı yazılımı tespit ederek karantina altına alınıyor. Birden fazla kamerada bu zararlı yazılım tespit edilmiş durumda. Fakat antivirus kullanılmayan ağlarda durum vahim. Öyle bir senaryoda Conficker virusu aktif hale gelerek önce kameranın bağlandığı sisteme sonrasında ise ağ yoluyla diğer sistemlere bulaşıyor.

Araştırmacılar Martel firması ile iletişime geçerek konuyla ilgili görüştüğünde ise firmanın başkanı bu durumun ciddi güvenlik sorunları yaratacağını ve sattıkları kameralarla ilgili IT bölümlerinin sorunun çözümü için çalıştığını belirtmekle yetiniyor. Martel firmasının ürünleri ABD dahil çok sayıda ülkede polis ve başka devlet kurumlarınca aktif olarak kullanılıyor. Conficker ise ilk kez Kasım 2008 tarihinde ortaya çıkmıştı ve İran’ı etkileyen Stuxnet zararlısıyla ilişkili olarak belirlenmişti. Halen çok sayıda devlet kurumu ve firmanın Windows XP benzeri eski işletim sistemleri de kullandığı düşünüldüğünde, ağa bulaşacak bu tür bir zararlı yazılım için kolayca diğer sistemlere bulaşmak mümkün.

Lenovo bilgisayarlarda yeniden arka kapı tespit edildi

lenovo-bilgisayarlarda-yeniden-arka-kapi-tespit-edildiÇin’li bilgisayar üreticisi Lenovo’nun BIOS içerisine gizlediği rootkit zararlı yazılımı tespit edildi.

Daha önce Lenovo’nun sattığı bilgisayarlara Superfish ismindeki spyware yazılımını yüklediği ortaya çıkmıştı. Bu skandalın üzerinden çok geçmeden daha tehlikeli bir zararlı uygulamaya rastlandı. UEFI seviyesinde gizli olarak yerleştirilmiş rootkit Lenovo G50-80 marka yeni alınan bir laptopta tespit edildi. Tamamen temiz olarak baştan kurulan ve Lenovo ile gelen disklerle yüklemesi yapılan sistemde tespit edildi.

İşletim sistemi yeniden kurulduktan sonra ilk reboot işleminin ardından aşağıdaki gibi bir mesaj alınıyor;

“Note: This is from the product itself and not from the network. To help you continue to upgrade system firmware and software, in order to make your system more stable, safe and high performance, download and install the Lenovo system optimization software. The software download process needs to connect to the internet. Click here to read the Lenovo License Agreement LLA”

Bunun anlamı, BIOS işletim sisteminin yeniden kurulduğunu anlıyor ve tekrar sistemde arka kapı oluşturacak dosyaları kopyalamak için uyarıyı gösteriyor. Normal bir Windows sistemle farklılıklar karşılaştırıldığında çok sayıda değişiklik yapıldığı görülüyor. Sistemde LenovoCheck.exe ve LenovoUpdate.exe gibi dosyalar da bulunuyor. Bu dosyalardan biri silinse bile tekrar sistem reboot edildiğinde aynı mesaj gözüküyor ve dosyalar yeniden kopyalanıyor.

Servisler içerisinde “Lenovo Update” olarak gösterilen servisi kapatsanız bile tekrar otomatik olarak aktif hale getiriliyor. Cihaz internete bağlandığında ise Lenovo’ya bağlanarak bir .json dosyası üzerinden çeşitli veriler alıp gönderiyor. Bu işlem için ise SSL kullanılmıyor. Tamamıyla güvensiz olan bu yöntem sayesinde uzaktan sistemde kod çalıştırmak veya iletişimi izleyerek man-in-the-middle saldırılarında bulunmak mümkün.

Problemin çözümü için BIOS güncellemesi yapılması gerekiyor fakat öncesinde yeni ROM içerisinde “NovoSecEngine2” isimli modülün bulunarak kaldırılması gerekiyor. Bu işlemi yaparken dikkatli olmak gerekli çünkü laptop kullanılamaz hale gelebilir. BIOS yeniden yazıldıktan sonra c:\Windows\system32\autochk.exe dosyasını Lenovo’nun mu yoksa Microsoft’un mu imzaladığına bakarak rootkit’in aktif olup olmadığı anlaşılabilir. Alternatif olarak Lenovo’nun yayınladığı son BIOS güncellemesi de kullanılabilir fakat kontrol etmekte yarar var gibi gözüküyor.

Lenovo’nun konu ile ilgili açıklaması ise artık LSE denilen rootkit’in Lenovo cihazlarla birlikte dağıtılmadığı, eski cihazların ise BIOS güncellemesi yaparak kurtulabileceği yönünde oldu.

Lenovo marka thin client, desktop, laptop çeşidi çok sayıda bilgisayar Türkiye’nin en kritik kamu, özel sektör kuruluşlarında kullanılıyor. Rootkit’ten etkilenen Lenovo modelleri;

Lenovo Notebook

  • Flex 2 Pro 15 (Broadwell)
  • Flex 2 Pro 15 (Haswell)
  • Flex 3 1120
  • Flex 3 1470/1570
  • G40-80/G50-80/G50-80 Touch
  • S41-70/U41-70
  • S435/M40-35
  • V3000
  • Y40-80
  • Yoga 3 11
  • Yoga 3 14
  • Z41-70/Z51-70
  • Z70-80/G70-80

Lenovo Desktop

  • A540/A740
  • B4030
  • B5030
  • B5035
  • B750
  • H3000
  • H3050
  • H5000
  • H5050
  • H5055
  • Horizon 2 27
  • Horizon 2e (Yoga Home 500)
  • Horizon 2S
  • C260
  • C2005
  • C2030
  • C4005
  • C4030
  • C5030
  • X310(A78)
  • X315(B85)
  • D3000
  • D5050
  • D5055
  • F5000
  • F5050
  • F5055
  • G5000
  • G5050
  • G5055
  • YT A5700k
  • YT A7700k
  • YT M2620n
  • YT M5310n
  • YT M5790n
  • YT M7100n
  • YT S4005
  • YT S4030
  • YT S4040
  • YT S5030

Verileri şifreleyip şantaj yapan TeslaCrypt 2.0 baş belası yeni özelliklerle geliyor

verileri-sifreleyip-santaj-yapan-teslacrypt-bas-belasi-yeni-ozelliklerle-geliyorÜlkemizde de organize veya bireysel saldırılarda sıkça kullanılan Ransomware türü zararlı yazılımlardan TeslaCrypt ikinci versiyonuyla yenileniyor.

TeslaCrypt’ın yeni versiyonunda artık oyun dosyaları da şifreleniyor. Fakat asıl yenilik şifrelemede yapılan değişiklikler. Eskiye göre çok daha güçlü bir şifreleme bizi bekliyor. Bu versiyonda artık şifrelenen dosyaları açmak imkansız hale geliyor. TeslaCrypt artık kullanıcıya bildirimde bulunmak için bir arabirim yerine kopyaladığı HTML sayfasını kullanıyor.

Bulaşılan her PC için yeni bir anahtar üretiliyor. Yani eskisi gibi bir “master key” yardımıyla tüm şifrelenen verileri açmak mümkün değil. Elbette eski versiyonda bulunan ve güvenlik uzmanlarının verileri şifrelemesine yarayan açıklıkta giderilerek dosyalar kurtarılamayacak hale getirilmiş.

TeslaCrypt 2.0’ın diğer özelliklerine bakacak olursak;

  • Zararlı yazılım bulaştığı sistemden ödeme isterken her sistem için ayrı bir Bitcoin adresi oluşturuyor. Aynı şekilde her sistem için ayrı bir özel anahtar oluşturularak birbiriyle ilişkilendiriliyor
  • AES-256-CBC algoritmasıyla şifreleme gerçekleştiriliyor
  • 268 MB üzerindeki dosyalar şifrelenmiyor
  • C&C sunucuları Tor ağı üzerinde bulunuyor. Zararlı yazılım C&C sunucularıyla tor2web servisi aracılığı ile iletişim kuruyor
  • Şifrelenen dosyalar bilgisayar oyunları gibi çok sayıda şablona ve uzantıya göre seçiliyor
  • Diskteki Shadow kopyalar siliniyor
  • Kullanıcıya gösterilen pencerede yazılı RSA-2048 şifreleme algoritması aslında hiçbir yerde kullanılmıyor
  • TeslaCrypt 2.0’ın tamamı C++ ile yazılmış ve kripto fonksiyonları için ise OpenSSL kütüphanesi kullanılmış

FBI hackerları yakalamak için milyonlarca dolar ödül dağıtıyor

fbi-hackerlari-yakalamak-icin-milyonlarca-dolar-odul-dagitiyorFBI ünlü çok arananlar listesini güncelledi. Ödül olarak dağıtılacak toplam rakam 4.3 milyon dolara ulaştı.

Siber suçlar hem kamu hem de özel sektör için ciddi bir tehdit olmaya devam ettikçe güvenlik güçleri daha radikal çözümler peşinde koşmaya devam ediyor. FBI tehlikeli siber suçlulardan oluşan çok arananlar listesi ile yüzlerce milyon dolar zarar veren suçluları yakalamayı umuyor.

Listedeki siber suçluların yakalanmasına yardım edecek, bilgi verecek kişilere toplamda 4.3 milyon dolar ödül veriliyor. Listede toplamda 15 kişi bulunuyor ve bunların tamamı erkek. Listede bulunup haklarında verilen bilgi karşılığı ödül sunulmayan 5 kişi bulunuyor. Bu 5 kişi Çin’de bulunuyor ve “People’s Liberation Army” üyesi. Yani Çin devleti için çalışan bir hacker ordusuna üyeler.

FBI’ın en çok arananlar listesindeki 5 kişiye göz atalım;

1. Evgeniy Mikhailovich Bogachev – 3 milyon dolar

Bogachev bugüne kadar çok sayıda türevi de çıkan, geniş kitlelerce kullanılan ve milyonlarca kullanıcıya zarar veren Zeus internet bankacılığı trojanını yazan kişi. Bu zararlı yazılım banka hesaplarından para sızdırma, şifre ve diğer kişisel bilgileri ele geçirmeye yarıyor. FBI için en önemli hedef halinde.

2. Nicolae Popescu – 1 milyon dolar

Popescu otomobil satışı yapılan sitelerde düzenlediği sahte açık arttırmalarla tanınıyor. Bu şekilde düzenlediği sahte satışlarla yaklaşık 3 milyon dolar kazandı. 2012 yılında çetesinden altı kişi tutuklansa da kendisi halen aranıyor. Romanya’da olduğu tahmin ediliyor.

3. Alexsey Belan – 100.000 dolar

Belan 2012, 2013 yıllarında Nevada ve California’da faaliyet gösteren iki e-ticaret sitesini hackleyerek tüm verilerini sızdırmıştı. Bu sızdırdığı verileri ise başka siber suçlulara sattı.

4. Peteris Sahurovs – 50.000 dolar

Sahurovs’un yöntemi reklam bannerları aracılığı ile sahte bir otel zincirinin reklamını yapmaktı. Tıklanarak web sitesine gidildiğinde ise ziyaretçilere zararlı yazılım bulaştırıyor ve 50 dolarlık bir fidye istiyordu. İstenen rakamın az olması kurbanları parayı ödeyerek kurtulmaya yöneltiyordu. Bu şekilde yaklaşık 2 milyon dolar kazandı.

5. Shaileshkumar Jain – 50.000 dolar

Jain kurbanlar web sitelerini ziyaret ettiğinde ufak pencereler açarak sistemlerine zararlı yazılım bulaştığı mesajını gösteriyordu. Bu şekilde aslında hiçbir fonksiyonu olmayan sahte yazılımların satışını gerçekleştiriyordu. 2006-2008 yılları arasında bu şekilde yaklaşık 100 milyon dolar kazandı.

Çok sayıda antivirus firması ABD ve İngiltere’nin hedefinde

Yaşanan Kaspersky’nin hacklenmesi olayından sonra kriz daha da derinleşiyor. Şimdi de sadece Kaspersky değil, çok sayıda antivirus üreticisinin gizli servislerin takibinde olduğu ortaya çıktı.

Edward Snowden’ın yayınladığı yeni bilgilerde gizli servisleritn antivirus üreticilerine dair ilgisi açıkça görülüyor. Hem ABD’li NSA, hem de İngiliz GCHQ gizli servislerinin antivirus üreticilerinin e-postalarını takip ettiği ortaya çıktı. E-postaları takip eden her iki gizli serviste gelen yeni zararlı yazılım ihbarlarını, zararlı yazılım örneklerini inceleyerek kendi casusluk yazılımlarını ona göre güncelliyor. Amaç antivirus uygulamalarına yakalanmayan zararlı yazılımları hızlı şekilde üretebilmek.

cok-sayida-antivirus-firmasi-abd-ingiltere-hedefinde-2

Ortaya çıkan dokümanlarda geçtiğimiz haftalarda hacklenen Kaspersky için “GCHQ’nun sistem ve ağlara sızmayı sağlayan yazılımlarını engelleme çabasına devam ediyorlar. Ama yapılan ters mühendislik çalışması sayesinde antivirus yazılımını exploit ederek bypass etmeyi başardık” şeklinde bahsediliyor. NSA’in “PROJECT CAMBERDADA” adını verdiği operasyonda ise 24 antivirus firmasının gizli servisin takibinde olduğu görülüyor.

Listelenen firmalardan Bitdefender, ESET, Avast, AVG ve F-Secure gibi firmalar yıldızı parlayan hedef olarak seçilenlerden. Merkezi ABD’de bulunan McAfee, Symantec ve İngiliz firma Sophos ise ilginç biçimde listede yok. Sophos, Symantec ve McAfee tüm dünyada kullanılıyor ve gizli servislerin takibinde olmaması düşündürücü. Yine aynı şekilde TrendMicro’da listede bulunmuyor.

Kaspersky görülmemiş bir yöntemle hacklendi

kaspersky-gorulmemis-bir-yontemle-hacklendiDünyaca ünlü antivirus ve bilgi güvenliği yazılımları üreticisi Kaspersky şimdiye dek görülmemiş bir operasyonla hacklendi.

Kim olduğu bilinmeyen, Kaspersky iç ağına kadar sızan siber suçluların Duqu benzeri bir zararlı yazılım kullandıkları biliniyor. Kaspersky’nin araştırmalarında saldırının ileride derecede karmaşık olduğunu ve neredeyse görünmez biçimde gerçekleştirildiği ortaya çıktı. Yapılan incelemelerde bu tarz bir operasyonu yapmanın yönetim ve diğer kısımlar dikkate alındığında 10 milyon doların üzerinde bir maliyeti olduğu ortaya çıkıyor.

Saldırganlar iç ağa sızmak için sistemlerde üç ayrı zero day açığından faydalandılar. Dolayısıyla bu saldırılar sırasında bazı izler de bıraktılar. Zararlı yazılım Kaspersky iç ağında MSI (Microsoft Software Installer) kullanılarak dağıtıldı. MSI genellikle sistem yöneticileri tarafından Windows sistemlere uzaktan yazılım kurmak için kullanılıyor. Saldırı sonucu bazı izlere ulaşılsa da, saldırganlar ağ içerisinde hareket ederken hiçbir dosya bırakmayarak, ayar değiştirmedi. Bu da hack olayının tespitini oldukça zor hale getirdi.

Planlama, ileri düzeydeki teknik kapasite göz ealındığında 2011 yılındaki Duqu saldırısını yapan kişilerle aynı olduğu ortaya çıkıyor. Büyük ihtimalle bu zararlı yazılımın da üretilmesinde bir gizli servisin büyük payı var. Kaspersky uzmanlarınca ağlarındaki bu zararlının keşfi ise hayli ilginç. Uzmanlar yeni antivirus ürünlerini kendi ağlarında denerken bazı garipliklerle karşılaşıyorlar. Araştırma derinleştirildikçe kullanılan üç ayrı zero day açığının da yamaları tamamen yapılmış Microsoft sistemlerde kullanıldığını farkediliyor. Kaspersky’nin yaptığı açıklamaya göre saldırganlar sadece bilgi güvenliğiyle ilgili ar-ge çalışmalarının yapıldığı sunucular, satış pazarlama ve hukuk departmanlarını hedef aldı. Amaçlarının ise tam olarak ne olduğu bilinmiyor.

Tox ile üç aşamada zararlı yazılım üretmek

Ülkemizde de son dönemde oldukça popüler olan Ransomware zararlı yazılımları üretmek oldukça kolaylaştı. Verilerin şifrelenip para talep edildiği bu yazılımlardan Tox siber yeraltı dünyasına hızlı bir giriş yaptı.

Yeni Ransomware üretme kiti ortaya çıkalı fazla bir zaman olmadı. 19 Mayıs’ta başlayan servis oldukça ilgi görüyor. Yazarları Tox’u şöyle ifade ediyor; “Geliştirdiğimiz virüs Windows işletim sisteminde açıldığında tüm dosyaları şifreliyor. Şifreleme tamamlandıktan sonra ise bir uyarıyla birlikte ücretin ödenmesi için Bitcoin adresini kullanıcıya gösteriyor”

tox-ile-uc-asamada-zararli-yazilim-uretmek_2

Tox üyelik sistemiyle çalışıyor. Siber suçlular kendi viruslerini üretmek için bu servise kayıt oluyorlar. Üstelik bu virusu oluşturmak oldukça basit üç adımdan oluşuyor;

1. Dosyaları şifrelenen kişiden talep edilecek ücret

2. Mesaj

3. Captcha’nın girilmesi

Tox’u yazan kişiler aynı zamanda Tox aracılığıyla alınan paralardan %30 gibi bir yüzde de alıyorlar. Yani şifrelenen dosyalar için 1000$ ücret isteniyorsa bunun 300$ kadar kısmı Tox’u yazanlara gidiyor. Zararlı yazılım anonimliği garanti altına almak için Bitcoin transferlerini Tor üzerinden gerçekleştiriyor. Tox ile üretilen zararlıların antivirusler tarafından tanınma oranı ise hayli düşük. Yazılımı geliştirenler bununla övünüyor.

tox-ile-uc-asamada-zararli-yazilim-uretmek

Tox’un ürettiği zararlı yazılım MinGW ile derleniyor. Bulaştığı sistemde dosyaları şifrelerken ise AES şifreleme ve Crypto++ kütüphanesini kullanıyor. Microsoft CryptoAPI ise anahtar üretmek amacıyla tercih edilmiş.

Türkiye’de henüz Tox kullanımına rastlamadık. Fakat ileriki zamanlarda hem Tox, hem de benzer servislerin Türkiye’ye de uyarlanacağını tahmin etmek zor değil.

SCADA sistemlere yönelik tehditler

SCADA terimi “Supervisory Control And Data Acquisition” kelimelerinin baş harflerinden oluşmuştur. Türkçe diline “Kontrol ve Veri Toplama Sistemi” olarak çevirilebilir. Haberleşme cihazları, bilgisayarlar, algılayıcılardan ve diğer tüm aygıtlardan oluşturulmuş hem denetlenebilen hem de kontrol edilebilen sistemleri tanımlar.

SCADA öyle kritik bir alan ki petrol, doğalgaz, nükleer güç, hidroelektrik, gaz yağı, kimyasal madde, boru hatları, elektrik gibi kritik altyapılara dair tüm alanlarda kullanılmakta. Buna rağmen SCADA ürünlerini hazırlayan firmalar güncel bilgi güvenliği tehditleriyle paralel bir gelişim göstermiyorlar. Geçmişte ve bugün siber savaşın önemli bir parçası olan SCADA bileşenleri her zamankinden daha önemli. Keşfedilen güvenlik açıkları ülkelerin ulusal güvenliklerini dahi tehdit edebiliyor.

SCADA sistemlerin normalde internete açık olmaması gerekirken biraz araştırıldığında ilginç veriler ortaya çıkabiliyor.

1997 yılında iki taneyle başlayarak keşfedilen SCADA güvenlik zafiyetleri sayısı yıllar içerisinde ciddi bir ivmeyle artarak devam ediyor.

scada-sistemlere-yonelik-tehditler-1

Üreticilere göre keşfedilen zayıflık sayısına baktığımızda Siemens liderliği elinden bırakmıyor.

scada-sistemlere-yonelik-tehditler-2

Yıllara göre bakıldığında internete açık SCADA sistemlerde dışarıdan tespit edilebilen güvenlik açıkları ciddi bir artış gösteriyor. Şu anda yaklaşık 146.000 kadar internetten erişilebilir SCADA sistem bulunuyor. Bu rakamlara göre Internetten erişilemeyen fakat iç ağdan gelebilecek tehditlere karşı savunmasız sistemlerin de ne derece ciddi sayılarda olacağını tahmin etmek mümkün. Internete açık SCADA sistemlerin çoğu ABD’de, onu büyük SCADA üretici firmaların çıktığı Almanya takip ediyor. Türkiye ise internet açık 1402 SCADA sistem ile alt sıralarda. Fakat bu rakam bile oldukça ciddi.

scada-sistemlere-yonelik-tehditler-3

İncelendiğinde internete açık SCADA sistemlerden 15.000 kadarında güvenlik zafiyetleri olduğu göze çarpıyor. Burada ilk üçü ABD, Fransa, Almanya paylaşırken Türkiye’nin internete açık SCADA sistem sayısına oranla çok daha fazla güvenlik açığına sahip olduğu görülüyor.

scada-sistemlere-yonelik-tehditler-4

Ekran kartına zararlı yazılım, keylogger gizlemek

ekran-kartina-zararli-yazilim-keylogger-gizlemekGüvenlik araştırmaları yapan bir ekip ismine Jellyfish dedikleri herhangi bir şekilde yazılımla tespit edilemeyen zararlı yazılımı GPU üzerine yerleştirmeyi başardılar.

Günümüz saldırıları gittikçe sofistike hale geliyor. Bunları engellemek zorlaştığı gibi tespit etme aşaması bile artık hayli güç. Ekran kartının grafik işlemci ünitesi GPU üzerine yerleştirilen Jellyfish zararlı yazılımı bunun son örneği. Bu geleceğin zararlı yazılımı ile GPU üzerinde dijital para birimlerini de üretmek mümkün. Tüm bunlar olurken işletim sisteminde çalışan prosesler veya servisler değiştirilip, müdahale edilmediği için zararlının tespiti de yapılamıyor.

Jellyfish zararlısı Nvidia, AMD ve Intel donanımına sahip ekran kartlarında çalışabiliyor. Böyle bir saldırıda zararlı yazılımı GPU’da çalıştırmak gizlenmek için en az riskli yöntem gibi gözüküyor. CPU çok sayıda güvenlik yazılımı tarafından taranırken, Windows Task Manager veya Process Explorer gibi araçlarla da incelenebiliyor. GPU için ise GPU-Z, GPU Load tarzı uygulamalar bulunuyor. Bunların yaptığı ise basitçe ekran kartlarının performanslarını analiz etmek. Eğer bu yazılımları Visual Studio’ya bağlarsanız ancak o zaman o anda GPU’da çalıştırılan kodu monitör etme şansına sahip olabiliyorsunuz.

Eğer bu tarz bir zararlı yazılımın GPU kullanımına, yüküne bakılarak tespit edilebileceğini düşünüyorsanız yanılıyorsunuz. GPU’ya yerleştirilen zararlı yazılımların getirdiği yük yaklaşık %0.1 kadar. GPU’da çalıştırılan kodlar şu an takip edilemez durumda. Muhtemelen NSA, GCHQ gibi gizli servisler yıllardır bu metodu kullanıyorlar. Çalışır bir örneği herkesin önündeyken gelecekte GPU üzerinden yapılacak saldırıların sadece devletler tekelinde olmayacağı kesin gibi gözüküyor.

ABD’nin hackerlarla zararlı yazılım ticareti

abdnin-hackerlarla-zararli-yazilim-ticaretiABD Uyuşturucu ile mücadele polisinin İtalyan bir firmadan 2012 yılından beridir hack araçları satın aldığı ortaya çıktı.

İsminin RCS (Remote Control System) olduğu belirlenen özel casusluk yazılımı yerleştirildiği telefondaki aramalar, kısa mesajlar, sosyal medya mesajlarını merkeze iletiyor. Tüm servislerin şifrelerini toplayabildiği gibi aynı zamanda kullanıcının haberi olmadan webcam ve mikrofonu da aktif hale getirerek kayıt yapabiliyor.

Hükümet kayıtlarına göre RCS casus yazılımı için 2.4 milyon dolar ödenmiş durumda. Yazılım bir kez yerleştirildikten sonra istenildiği kadar anlık veri sızdırılabiliyor ve casusluk yapılabiliyor. Casus yazılımın kaynağı ise belirsizliğini koruyor. DEA yazılımı Cicom USA adında bir firmadan almış gözüküyor, fakat bazı kaynaklar Cicom’un sadece 2011 yılından beridir devletlere casus yazılım satan yasadışı bir hack grubunun bayisi olduğunu  belirtiyorlar.

abdnin-hackerlarla-zararli-yazilim-ticareti_2

Bu hack grubu da oldukça kötü bir üne sahip. Bu siber suçluların daha önce YouTube ve Microsoft servisleri üzerinden hedefli zararlı yazılım saldırıları düzenledikleri söyleniyor. Bu saldırılarda kullandıkları açıklıkları da Fas, Etiyopya, Birleşik Arap Emirlikleri gibi ülkelere satıyorlar. Hack grubunun sözcüsü Eric Rabe DEA ile karşılıklı bir sözleşmelerinin olup olmadığı konusunda herhangi bir yorum yapmıyor.

Bu olay gösteriyor ki İngiltere MI6/MI8, ABD CIA/FBI, Almanya GCHQ gibi gizli servisler dışında başka devlet kurumları da casus yazılımlar kullanarak kendi vatandaşlarını veya yabancıları hacklemeye devam ediyorlar.