Temmuz 2021’de, birisi Google’a Chrome, Firefox ve Microsoft Defender çalıştıran bilgisayarları hacklemek için kullanılabilecek bir grup kötü amaçlı kod gönderdi. Bu kod, Heliconia adı verilen bir kullanım çerçevesinin parçasıydı. Google’a göre o zamanlar bu uygulamaları hedef alan açıklardan yararlanmalar sıfır gündü, bu da yazılım üreticilerinin hatalardan habersiz olduğu anlamına geliyordu.
Bir yıldan uzun bir süre sonra Kasım 2022’de, şirketin devlet destekli tehditleri araştıran ekibi olan Google’ın Tehdit Analizi Grubu, bu açıklardan yararlanmaları ve Heliconia çerçevesini analiz eden bir blog yazısı yayınladı. Google araştırmacıları, kodun halk tarafından bilinmeyen Barselona merkezli bir girişim olan Variston’a ait olduğu sonucuna vardı.
Eski bir Variston çalışanı TechCrunch’a şunları söyledi: “O zamanlar çok büyük bir krizdi, çünkü uzun bir süre radarın altında kalmıştık.” “Herkes sonunda yakalanıp ifşa olacağımıza inanıyordu [in the wild]ama bunun yerine bir sızıntıydı.
Bir başka eski Variston çalışanı, kodun Google’a hoşnutsuz bir şirket çalışanı tarafından gönderildiğini ve bu olay gerçekleştikten sonra Variston’ın adının ve gizliliğinin “yakıldığını” söyledi.
Google, Variston’ın kötü amaçlı yazılımını araştırmaya devam etti. Mart 2023’te teknoloji devinin araştırmacıları Variston tarafından üretilen casus yazılımların Kazakistan, Malezya ve Birleşik Arap Emirlikleri’nde kullanıldığını tespit etti. Geçen hafta Google, Endonezya’daki iPhone sahiplerine karşı kullanılan Variston hackleme araçlarını bulduğunu bildirdi.
TechCrunch’a, geçtiğimiz yıl yarım düzineden fazla Variston çalışanının şirketten ayrıldığını ve gizlilik anlaşmaları nedeniyle basınla konuşma yetkisine sahip olmadıklarını söylediler.
Dört eski çalışan ve casus yazılım pazarı hakkında bilgisi olan iki kişiye göre Variston artık kapanıyor.
2010’ların başında halk, Hacking Team, FinFisher ve NSO Group gibi Batı merkezli şirketlerin dünyanın her yerindeki ülkelere ve rejimlere gözetleme ve hackleme araçları sağladığı gelişen bir pazarın olduğunu öğrenmeye başladı. Etiyopya, Meksika, Suudi Arabistan, Birleşik Arap Emirlikleri ve daha pek çok ülkenin insan hakları konusunda şüpheli veya zayıf kayıtları var.
O zamandan beri Citizen Lab ve Uluslararası Af Örgütü gibi dijital ve insan hakları örgütleri düzinelerce vakayı belgeledi Bu casus yazılım üreticilerinin hükümet müşterileri, gazetecileri, muhalifleri ve insan hakları savunucularını hacklemek ve onlar hakkında casusluk yapmak için bu araçları kullanıyordu.
Son birkaç yılda saldırı güvenliği endüstrisi daha kamusal hale geldi ve normalleşti. Bu casus yazılım üreticilerinden ve istismar geliştiricilerinden bazıları hizmetlerinin çevrimiçi reklamını açıkça yapıyor, çalışanları sosyal medyada nerede çalıştıklarını açıklıyor ve OffensiveCon ve HexaCon gibi bu sektöre açıkça hitap eden birkaç popüler güvenlik konferansı var.
Ancak Variston her zaman radarın altından uçmaya çalıştı.
Şirketin halka açık tek bilgisi bir barebone web sitesi ne yaptığını belirsiz bir şekilde tanımladığı yer.
“Araç setimiz danışmanlarımızın engin birikimli deneyimi üzerine inşa edilmiştir. Dijital bilgilerin keşfedilmesini destekler. [law enforcement agencies],” diye yazıyor Variston’ın web sitesinde, devlet kurumlarına yönelik bir casus yazılım ve istismar oluşturucu olarak yaptığı çalışmalardan kısa bir şekilde söz ediliyor.
TechCrunch’a konuşan eski çalışanlara göre Variston, çalışanların yalnızca LinkedIn’de değil, siber güvenlik konferanslarında da nerede çalıştıklarını açıklamalarını yasakladı.
Variston’un web sitesi. Resim Kredisi: TechCrunch (ekran görüntüsü)
TechCrunch tarafından görülen İspanyol iş kayıtlarına göre Variston, 2018 yılında Barselona’da kuruldu ve kurucuları ve yöneticileri olarak Ralf Wegener ve Ramanan Jayaraman listelendi.
Web sitesi şehirdeki başka bir adresi listelese de Variston, en son Barselona’nın Poblenou semtindeki bir ofiste, plajdan bir blok ötede bulunan bir ortak çalışma alanında çalışıyordu. Ekim ayında, ortak çalışma alanının bir temsilcisi TechCrunch’a Variston’ın orada bulunduğunu ve birkaç yıldır burada olduğunu söyledi.
TechCrunch bu hafta Variston’ın ofisini ziyaret ettiğinde ortak çalışma alanı temsilcisi Variston’ın hâlâ orada çalıştığını iddia etti. Temsilci, Variston’a o gün orada olmadıklarını ancak o hafta binada olduklarını belirten bir mesaj almayı teklif etti. TechCrunch’tan Variston hakkında yorum isteyen çok sayıda e-postaya ne Wegener ne de Jayaraman yanıt verdi. Variston’ın genel e-posta adresine gönderilen e-postaya yanıt verilmedi.
Variston’ın 2018’deki ilk hamlelerinden biri, Variston’ı satın almaktı. Gerçek BTTechCrunch tarafından görülen İtalyan iş kayıtlarına göre, İtalya’da küçük bir sıfır gün araştırma girişimi. O zamandan beri Variston yaklaşık yüz kişilik bir şirkete dönüştü. Variston, şirketin Windows cihazlarını hedeflemeye yönelik yararlanma çerçevesi olan Heliconia’nın yanı sıra iOS ve Android’i hedef alan açıklardan yararlanma ve bilgisayar korsanlığı araçları da geliştirdi. Eski çalışanlara göre Variston’ın Android ürününün adı Violet Pepper’dı.
Variston’da çalışmak üzere taşınan Truel IT’nin kurucuları bile LinkedIn profillerinde Variston’ı işveren olarak açıklamıyor.
Eski Variston çalışanlarına göre bu gizlilik seviyesi, Birleşik Arap Emirlikleri’nin Abu Dhabi şehrinde yerleşik bir şirket olan Koruma ile olan özel ilişkisi dışında şirketin müşterilerinin kimlikleri için de geçerliydi.
Basına konuşma yetkileri olmadığı için isminin gizli kalmasını isteyen, Koruma operasyonları hakkında bilgisi olan bir kişi, “Variston, bir Koruma tedarikçisiydi” dedi. “Bir süreliğine her ikisi için de önemli bir ilişkiydi.”
Eski Variston çalışanlarına göre şirketin işi “BAE’ye gitmekti” ve Koruma “fiilen tek müşteriydi”.
Eski çalışanlar TechCrunch’a, Araştırma ve Geliştirme tarafı da dahil olmak üzere Variston’daki tüm operasyonları Korumanın finanse ettiğini söyledi. Eski bir Variston çalışanı, Protect’in 2023’ün başlarında geliştirme kısmından fonunu çekmesinin ardından, Korumanın Variston çalışanlarını başka yere taşınmaya zorlamaya çalıştığını söyledi. Daha sonra, yılın ilerleyen zamanlarında araştırma finansmanı durduğunda Variston “dükkanı kapattı” dedi.
Bize Ulaşın
Variston veya Koruma hakkında daha fazla bilginiz var mı? Çalışmayan bir cihazdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram, Keybase ve Wire @lorenzofb aracılığıyla veya e-posta yoluyla güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.
2023’ün başında Koruma, tüm Variston çalışanlarının Abu Dabi’ye taşınmasını istedi. Variston’ın personelinin çoğu teklifi kabul etmediği için Variston çözülmeye başladı. Eski çalışanlar, yönetimin onlara iki seçenek sunduğunu söyledi: “Abu Dabi’ye taşınmak ya da kovulmak” ve hiçbir istisna olmayacağını söyledi.
Kendini “son teknolojiye sahip bir siber güvenlik ve adli tıp şirketi” olarak koruyun. Tıpkı Variston gibi, Koruma da web sitesinde şirketin ne yaptığı hakkında çok az şey söylüyor.
Ancak Google’ın güvenlik araştırmacıları buna inanıyor Koruma Elektronik Sistemleri olarak da bilinen Koruma, “geliştirdiği casus yazılımları Heliconia çerçevesi ve altyapısıyla birleştirerek tam bir pakette birleştiriyor ve bu paket daha sonra yerel bir komisyoncuya veya doğrudan bir devlet müşterisine satışa sunuluyor.”
Bu, Variston’un aletlerinin iddiaya göre Endonezya, Kazakistan ve Malezya’da nasıl kullanıldığını açıklıyor.
Intelligence Online’a göreGözetleme ve istihbarat endüstrisini kapsayan bir ticari yayın olan Koruma, BAE merkezli tartışmalı bir bilgisayar korsanlığı şirketi olan DarkMatter’ın ardından piyasaya sürüldü. Amerikalıları çalıştırdığı ortaya çıktı daha sonra BAE hükümetinin muhalifler, siyasi rakipler ve gazeteciler hakkında casusluk yapmasına yardım etti.
Intelligence Online’ın haberine göre, 2019 itibarıyla Koruma, Awad Al Shamsi tarafından yönetiliyordu ve “BAE hükümeti kullanıcılarına yabancı siber teknolojiye gizli erişim sağlıyordu”. Al Shamsi’nin hâlâ Koruma’da olup olmadığı bilinmiyor ve Al Shamsi, yorum isteyen bir e-postaya yanıt vermedi. Koruma, TechCrunch’tan gelen diğer birkaç e-postaya yanıt vermedi.
TechCrunch tarafından görülen, Koruma e-posta adreslerine bağlı şifreleme anahtarlarının halka açık çevrimiçi kayıtlarına göre, Variston’ın kurucuları Wegener ve Jayaraman da en azından 2016 itibarıyla Koruma’da çalışmış görünüyor.
Wegener casus yazılım sektörünün duayenlerinden biridir. Intelligence Online’a göre Wegener, bazıları Kıbrıs’ta bulunan ve Jayaraman’ın ortak sahibi olduğu başka birçok şirketi yönetiyor. Wegener, 2001 yılında Berlin’de kurulan ve Dubai’de ofisi bulunan bir gözetim sağlayıcısı olan AGT’de veya Advanced German Technology’de çalışıyordu. AGT, 2007 yılında İtalyan casus yazılım üreticisi RCS Lab ile birlikte ülke çapında merkezi, gerçek zamanlı bir internet izleme sistemi geliştirmek için Suriye hükümetiyle birlikte çalıştı. sızdırılan belgelere dayanan haberlere göre Ve Kâr amacı gütmeyen Privacy International’ın araştırması. Sonuçta AGT, sistemi Suriye hükümetine sağlamadı.
Variston, kuruluşundan beş yıl sonra artık gizli bir girişim değil.
Üç eski çalışan, Google’ın 2022’deki raporunun Variston’ın gizliliğini açığa çıkardığını söyledi. Çalışanlardan biri, Variston’ı ifşa eden Google raporunun casus yazılım üreticisi için “sonun başlangıcı olabileceğini” söyledi.
Ancak başka bir eski Variston çalışanı, diğer casus yazılım üreticileri gibi şirketin de eninde sonunda açığa çıkacağını söyledi. Kişi, “Er ya da geç olması kaçınılmazdı” dedi. “Bu oldukça normal.”
Natasha Lomas haberciliğe katkıda bulundu.
Bu raporun daha önceki bir sürümü, Google’ın Variston araçlarını keşfetmesini bir editörün hatası nedeniyle yanlışlıkla İtalya’ya atfetmişti. ZW.