Careto: İspanyolca Konuşan Gizemli Siber İstihbarat Grubu
Yaklaşık on yıl önce, Kaspersky‘nin antivirüs uzmanları, devlet destekli bir grup olduğu düşünülen şüpheli internet trafiği tespit etti. Başlangıçta, grubun phishing teknikleri ve belirli hedeflere odaklanmasıyla bilinen bir istihbarat birimine bağlı olduğu düşünülüyordu. Ancak zamanla, çok daha gelişmiş bir siber saldırı operasyonunu keşfettiler. Bu operasyon, başta Küba hükümeti olmak üzere, çeşitli hedefleri hedef alıyordu. Yapılan araştırmalar, İspanyolca konuşan gizemli bir hacker grubuna – Careto – atıfta bulundu. Grubun adı, yazılımın kodundaki İspanyolca bir argo terim olan "çirkin yüz" veya "maske" kelimesinden gelmektedir.
Careto’nun Yükselişi ve Kapsamı
Kaspersky, Careto’yu ilk olarak 2014‘te duyurdu. Araştırmacılar, grubun “o zamanki en gelişmiş tehditlerden biri” olduğunu belirtti. Careto’nun malware yazılımı, yüksek düzeyde gizlilik sağlayarak, bireylerin özel konuşmalarını, tuş vuruşlarını alabiliyor ve birçok farklı bilgisayar sistemini hackleyebiliyordu. Bu durum, etkili bir devlet siber izleme yazılımına benziyordu. Careto’nun faaliyetleri, hükümet kurumları ve özel şirketler dahil olmak üzere dünya genelinde birçok kurumu hedef aldı.
Kaspersky, grubun arkasındaki devleti kamuya açıklamaktan kaçındı. Ancak, o dönemde Kaspersky’de çalışan birden fazla kaynağa göre, araştırmacılar Careto’nun İspanyol hükümeti için çalışan bir siber hacker ekibi olduğu sonucuna varmışlardı. Bir kaynağa göre, "bu konuda hiç şüphe yoktu, en azından makul bir şüphe yoktu." Bu durum, Careto’yu Batılı hükümetlerin siber hacker grupları arasında özel bir konuma yerleştirdi.
Küba ile İlişki ve Etkileri
Kaspersky’nin araştırmaları sırasında, Careto’nun belirli bir Küba hükümeti ağını hedef aldığı keşfedildi. Bu keşif, Careto’ya yönelik araştırmaların başlangıcını oluşturdu. Küba hükümeti çalışanlarından birinin enfekte olmasıyla olaylar zinciri başlamıştı. Careto, bu dönemde ETA (Bask Terör Örgütü) üyelerinin Küba’da bulunduğu düşünülerek, ülkeye özel bir ilgi gösteriyordu. Kaspersky, Küba’da en fazla sayıda kurban tespit etti ve bu kurbanların tamamı tek bir kuruma aitti.
Ayrıca, Careto’nun hedefleri arasında Brezilya, Fas ve İspanya gibi ülkeler de bulunuyordu. Bu hedef seçimi, İspanyol hükümetinin jeostratejik çıkarlarıyla doğrudan bağlantılıydı. O dönemde İspanyol hükümeti, Brezilya’da yüksek hızlı bir demiryolu inşaatı için destek arıyordu.
Careto’nun Çalışma Biçimi
Careto, genellikle spear-phishing teknikleri kullanarak saldırılarını gerçekleştiriyordu. Bu phishing e-postaları, İspanyol gazeteleri gibi meşru kaynakları taklit eden tehlikeli linkler içeriyordu. Kurban, bu linklere tıkladığında, bilgisayarına malware yerleşiyor ve ardında gizli verilere ulaşmanın yollarını açıyordu. Kaspersky araştırmacıları, bu malware yazılımının kullanıcıların mikrofonunu gizlice açabildiğini ve bilgileri çalabildiğini ortaya koydu.
Kaspersky’nin yazılımları, Küba’da oldukça yaygın olduğu için, Careto’nun saldırılarını hedef almak oldukça kolaydı. Kaspersky’nin yazılımı, Küba’daki internet güvenliği pazarının %90’ını kontrol ediyordu.
Careto’nun Yeniden Ortaya Çıkışı
Kaspersky, Careto’nun faaliyetlerini 2014’te durduktan sonra uzun bir süre kaydedemedi. Ancak 2024 yılında Careto’nun malware’inin tekrar bulunduğunu açıkladı. Bu defa, grup Latin Amerika’daki daha önce hedef almış olduğu bir kuruluşa sızmayı başardı. Yeni araştırmalar, Careto’nun eski taktiklerinin ve yöntemlerinin kullanılmaya devam ettiğini gösterdi, ancak aynı zamanda yeni hatalar yaptığını da ortaya koydu.
Kaspersky araştırmacıları, Careto’nun mevcut saldırılarını, “orta ile yüksek güvenle” atfedebilmişti. Ancak hala grubun arkasındaki devlet veya otoriteyi saptayamadılar. Kaspersky uzmanı Georgy Kucherin, "Çoğu büyük devlet destekli hack gruplarına göre daha küçük olan Careto’nun, karmaşıklık açısından onlardan daha üstün olduğunu" söyledi.
Careto’nun gelişimi ve geçmişi, devlet destekli simgesel siber tehditlerin nasıl evrildiğine ışık tutan önemli bir örnektir. Gizli yetenekleri ve etkili taktikleri, onları siber tehditlerin "elit" sınıfına yerleştirirken, aynı zamanda devletlerin siber stratejileri üzerindeki etkilerini de göstermektedir.
