ABD Dışişleri Bakanlığı, sivil toplum üyelerini gözetlemek amacıyla ticari casus yazılımların yasa dışı kullanımıyla bağlantısı olan kişilere vize kısıtlamaları getiren yeni bir politika uyguladığını söyledi.
” ticari casus yazılımların kötüye kullanılması Dışişleri Bakanı Antony Blinken, mahremiyet ve ifade özgürlüklerini, barışçıl toplanma ve örgütlenme özgürlüklerini tehdit ediyor” dedi. söz konusu. “Bu tür hedeflemeler, en vahim vakalarda keyfi gözaltılar, zorla kaybetmeler ve yargısız infazlarla bağlantılıdır.”
ABD hükümetinin gözetleme araçlarının yaygınlaşmasını engellemeye yönelik devam eden çabalarının altını çizen son önlemler, ticari casus yazılımların kötüye kullanılmasına karışan kişiler için “sorumluluğu teşvik etmek” üzere tasarlandı.
Yeni politika, bu tür araçları “bireyleri yasadışı bir şekilde gözetlemek, taciz etmek, bastırmak veya korkutmak” için kullanan kişilerin yanı sıra, bu kötüye kullanımdan mali olarak fayda sağlayacak kişileri de kapsıyor.
Aynı zamanda casus yazılım geliştiren ve hükümetlere ve diğer kuruluşlara satan şirketleri de (diğer adıyla özel sektör saldırgan aktörleri veya PSOA’lar) içerir. ABD’ye giriş için vize gerektirmeyen pasaportlara sahip kişilere yeni kısıtlamaların nasıl uygulanacağı henüz belli değil.
Ancak CyberScoop notlar Yasaktan potansiyel olarak etkilenen yöneticilerin artık vize muafiyet programına katılmaya uygun olmayacağı ve ABD’ye seyahat etmek için vize başvurusunda bulunmaları gerekeceği belirtildi.
Bu gelişme, Access Now ve Citizen Lab’ın Orta Doğu ülkesi Ürdün’deki 35 gazeteci, avukat ve insan hakları aktivistinin NSO Group’un Pegasus casus yazılımı tarafından hedef alındığını ortaya koymasından birkaç gün sonra geldi.
Kasım 2021’de ABD hükümeti, NSO Group’a ve başka bir casus yazılım satıcısı olan Candiru’ya, “bu araçları hükümet yetkililerini, gazetecileri, iş adamlarını, aktivistleri, akademisyenleri ve elçilik çalışanlarını kötü niyetli bir şekilde hedef almak için kullanan” yabancı hükümetlere siber silahlar geliştirip tedarik ettikleri için yaptırım uyguladı.
Daha sonra geçen yılın başlarında ABD Başkanı Joe Biden, federal hükümet kurumlarının ulusal güvenlik riskleri oluşturabilecek ticari casus yazılımlar kullanmasını yasaklayan bir idari emir imzaladı. Temmuz 2023’te ABD, Intellexa ve Cytrox’u da ticari engelleme listesine aldı.
Bir göre zeka değerlendirmesi Birleşik Krallık Hükümeti İletişim Merkezi (GCHQ) tarafından Nisan 2023’te yayımlanan rapora göre, son on yılda en az 80 ülke ticari siber saldırı yazılımı satın aldı.
Google’ın Tehdit Analizi Grubu (TAG), Kapsamlı rapor The Hacker News ile paylaşılan ticari casus yazılım ortamı hakkında, Cy4Gate, Negg Group ve Variston gibi “hükümetlerin bireylere karşı kullandığı tehlikeli araçların ve yeteneklerin çoğalmasını sağlayan” düzinelerce küçük satıcının bulunduğunu söyledi.
Örneğin, Mart 2022’de RCS Lab’ı satın alan İtalyan şirketi Cy4Gate, olarak bilinen Android ve iOS casus yazılımlarının üreticisidir. Epeius. Yine İtalya’dan olan Negg Group, tek tıklamayla yararlanma zincirleri aracılığıyla sunulan, VBiss kod adlı bir mobil casus yazılım türü geliştiriyor. Ayrıca, şu şekilde bilinen başka bir Android kötü amaçlı yazılımıyla da bağlantılıdır: Skygofree.
TAG, “Hükümetler en gelişmiş yetenekler üzerinde tekele sahip olsaydı, bu dönem kesinlikle sona ermiştir” dedi ve farklı düzeyde gelişmişliğe sahip yaklaşık 40 şirketi takip ettiğini ekledi. “Özel sektör artık tespit ettiğimiz en karmaşık araçların önemli bir kısmından sorumlu.”
Bu, 2023’te vahşi ortamda istismar edilen 25 sıfır günden 20’sinin PSOA’lar tarafından silah haline getirilmesiyle örneklendirilmektedir. Ayrıca, 2014’ten bu yana Google ürünlerinde bulunan 72 sıfır günden 35’i ticari satıcılar tarafından aktif olarak istismar ediliyor.
TAG ayrıca, istismar geliştiricilerinin, istismar komisyoncularının ve güvenlik açıklarından yararlananların oynadığı rollere dikkat çekerek, “Gözetim teknolojisinin gelişimi genellikle bir güvenlik açığının keşfedilmesiyle başlar ve bir devlet müşterisinin yüksek riskli bir kullanıcının cihazına yüklenen casus yazılımdan veri toplamasıyla sona erer” dedi. Casus yazılımı, ilk dağıtım mekanizmaları ve açıklardan yararlanmalarla birlikte bir ürün olarak satan satıcıların kendileri.
(Hikaye yayınlandıktan sonra Google’ın Tehdit Analizi Grubu tarafından paylaşılan ek bilgileri içerecek şekilde güncellendi.)