ABD ve diğer hükümetlerin NSO Group’un Pegasus ve Intellexa Consortium’un Predator gibi güçlü casus yazılım araçlarının geliştirilmesini, kullanımını ve yayılmasını engelleme çabaları büyük ölçüde başarısız oldu. Aksine, bu casusluk perakendecilerini tespit edilmekten kaçınma ve gölgelerde iş yapma yeteneklerini geliştirmeye teşvik etmiş görünüyorlar.
Casus yazılımların meşru bir kolluk kuvveti veya istihbarat toplama kullanım durumu olabileceği tartışılabilir, ancak insan hakları ihlallerini izleyenler, gazetecileri, muhalifleri ve vatandaşları gözetlemek ve faaliyetlerini denetlemek için otoriter hükümetler tarafından kullanılan araçlar olarak Pegasus ve Predator gibi araçları sağlam bir şekilde kurmuşlardır. Batılı hükümetler (ABD, İngiltere ve Avrupa’daki diğerleri dahil) bu casus yazılım araçlarını insan hakları ve temel özgürlükler için bir tehdit olarak kabul ediyor ve yaptırımlar ve diğer yaptırım eylemleri yoluyla kullanımını durdurmaya çalışmak için birleştiler.
2021’de ABD Ticaret Bakanlığı, NSO Group, Candiru Ltd. ve iki tedarikçiye yaptırım uyguladı. 2023’te Intellexa Consortium’u “dünya çapında bireylerin ve kuruluşların gizliliğini ve güvenliğini tehdit eden, bilgi sistemlerine erişim sağlamak için kullanılan siber saldırıların ticareti” nedeniyle listeye ekledi, 4 Eylül tarihli bir rapora göre Atlantik Konseyi DFRLab’dan rapor.
Ayrıca 2023’te ABD, hükümet kuruluşlarının ticari casus yazılım kullanmasını engellemeyi önerdi ve ticari casus yazılımların kötüye kullanılmasına ve yayılmasına karşı çalışma sözü vermek için birkaç ülkeyle bir araya geldi, DFRLab’ın raporunda belirtildi. Mart 2024’te ABD Hazine Bakanlığı da yedi casus yazılım kuruluşuna yaptırımVe takip eden ayda, ABD hükümeti de Vize kısıtlamaları verildi Raporda, “ticari casus yazılımların kötüye kullanılmasının sorumluluğunu teşvik etmek” amaçlandığı belirtildi.
Bir süre işe yaradı. Ancak vatandaşlarına karşı casus yazılım kullanmak isteyen hükümetler için pazar, bu satıcıların kaçırmaması gereken büyük bir ödül olduğunu kanıtladı: Atlantic Council raporu ayrıca yaptırım uygulanan casus yazılım satıcılarının daha sonra geri döndüğünü vurguladı.
“Mevcut kanıtların çoğu casus yazılım satışlarının mevcut bir gerçeklik olduğunu ve devam edeceğini gösteriyor,” diye itiraf etti Atlantic Council. “Ancak, potansiyel insan hakları zararları ve ulusal güvenlik riskleri göz ardı edilerek yayılma, istikrarlı bir statüko değildir.”
Predator Casus Yazılımı Konum Bulandırmayla Geri Dönüyor
Örnek olarak Predator’ı ele alalım. 2024’te Predator casus yazılım Insikt Group araştırmacılarına göre, şirket yaptırıma tabi tutulduktan sonra kullanım keskin bir şekilde düştü. Ancak son zamanlarda, yeni ve geliştirilmiş Predator altyapısı Demokratik Kongo Cumhuriyeti ve Angola da dahil olmak üzere daha fazla ülkede tespit edildi.
Insikt Group’un 5 Eylül tarihli Predator raporunda, yeni ve geliştirilmiş Predator aracına yapılan güncellemelerin müşteri işlemlerini anonimleştirdiği ve bu sayede casus yazılımın hangi ülkelerde kullanıldığının belirsizleştiği belirtildi.
Raporda, “Bu değişiklik, araştırmacıların ve siber güvenlik savunucularının Predator’ın yayılmasını izlemesini zorlaştırıyor” ifadeleri yer aldı.
Ancak Predator, gözetimden kaçınmak için konumunu değiştiren tek casus yazılım aracı değil. Atlantic Council’in raporu, casus yazılım satıcılarının yargı yetkisi boşluklarından yararlanmak için adapte oldukları çeşitli yolları tanımlıyor; bunlar arasında işlerini farklı alanlara dağılmış yan kuruluşlar, ortaklar ve diğer ilişkilerle yapılandırmak da yer alıyor. Casus yazılım satıcıları ayrıca yaptırımları ve diğer düzenlemeleri aşmak için şirketlerini ve tüzel kişiliklerini adlandırma ve yeniden adlandırma oyunları da oynuyor.
Atlantic Council’in raporunda, “Kimliği en ısrarla değişen şirket, başlangıçta Candiru Ltd. olarak bilinen ve sonraki dokuz yıl içinde adını dört kez değiştiren, bu yazının yazıldığı sırada ise Saito Tech Ltd. olarak bilinen şirkettir” denildi.
Strateji, ticari faaliyetlerin ötesine geçiyor; bu yargı yetkisine dayalı sahtekarlık oyunu, aynı zamanda bu satıcıların daha geniş bir yelpazedeki ülkelerden yatırımcıları cezbetmelerine de olanak sağlıyor.
Atlantic Council raporunda, “Bu yer değiştirmeler, AB’de yerleşik bir firma ile AB pazarına satışları kolaylaştırmaktan, şubeleri daha esnek yasalara sahip eyaletlere yerleştirmeye kadar çeşitli konuma özgü avantajlar sağlayabilir” denildi.
Atlantik Konseyi’ne göre iyi haber şu ki, casus yazılım yatırımlarına yönelik daha fazla kontrol ve incelemeyle bu açıklar kapatılabilir.
Rapora göre, “ABD’nin yakın zamanda şirketleri diğer ülkelerdeki politikalara uygun olarak faydalanıcı sahiplerini bildirmeye zorlaması gibi kurumsal şeffaflık gerekliliklerini iyileştirmek, ABD içinde yatırımcı gerekli özeni ve anlaşma incelemesini iyileştirecektir.” “ABD dışında bulunan satıcılar için, ABD güvenlik incelemesini bazı dışa dönük yatırım biçimlerine genişletmek için önerilen kural koyma bildirimi, yatırımı kataloglamak ve potansiyel olarak engellemek için temel sağlayabilir.”
Casus Yazılım Satıcıları Üç Ülkede Yoğunlaştı
Atlantic Council raporu, mevcut casus yazılım satıcısı manzarasının üç alanda yoğunlaştığına işaret ediyor: İsrail, Hindistan ve İtalya. NSO Group gibi İsrail casus yazılım şirketlerine çok fazla odaklanılmış olsa da Atlantic Council raporu, Batılı hükümetleri yaptırım odaklarını Hindistan ve İtalya’da faaliyet gösteren şirketlere de genişletmeye teşvik ediyor. Bu iki ülke, yakın zamanda İngiltere ve Fransa’nın siber saldırı araçlarına karşı uyguladığı yüksek profilli uluslararası yaptırımların dışında bırakılmıştı. Pall Mall Süreci.
Raporda, Hindistan’ın Aglaya Scientific Aerospace Technology Systems Private Limited ve Appin Security Group’un da aralarında bulunduğu beş, İtalya’nın ise Memento Labs ve Movia SPA’nın da aralarında bulunduğu altı büyük casus yazılım satıcısına ev sahipliği yaptığı belirtiliyor.
Atlantic Council raporunda casus yazılım pazarında şeffaflığın sağlanması için daha fazla şey yapılması gerektiği vurgulandı.
“Bir avuç ülkenin yeni attığı adımlar, casus yazılım satıcılarının, tedarik zincirlerinin ve yatırımcılarının davranışlarını şekillendirmek için daha güçlü bir yaklaşımın mümkün olduğunu gösteriyor,” dedi raporda. “Ancak, yapılması gereken çok daha fazla şey var.”