ABD hükümeti, sıfır gün zafiyetlerini edinip satan iki şirkete ve onların kurucularına yönelik yaptırımlar açıkladı.
ABD Hazine Bakanlığı yetkilileri, sıfır gün zafiyetlerinin, geliştiricisi tarafından bilinmeyen yazılım güvenlik açıkları olduğunu ve bu zafiyetlerin kötüye kullanılarak insanları hacklemek için kullanılabileceğini belirtti. Bu durumun, ABD’nin ulusal güvenliğine, dış politikasına ve ekonomisine tehdit oluşturduğunu ifade etti.
Yaptırım uygulanan ilk şirket, 2021 yılında kurulan Rus firması Operation Zero. Şirket, 2023 yılında Android cihazlar ve iPhone’lar için sıfır gün zafiyetleri için 20 milyon dolara kadar ödül sunduğu haberleriyle manşetlere çıktı. Ayrıca Telegram için de sıfır gün zafiyetleri için 4 milyon dolara kadar teklif sundu. Firma, yalnızca Rus hükümeti ve yerel kuruluşlarla çalıştığını iddia ediyor.
Hazine’nin Yabancı Varlık Kontrol Ofisi (OFAC), Operation Zero’nun müşterilerinin “bu araçları fidye yazılım saldırıları gerçekleştirmek veya diğer kötü niyetli faaliyetlerde bulunmak için kullanabileceğini” belirtti.
Hazine, şirketin kurucusu Sergey Zelenyuk’a da yaptırım uyguladığını duyurdu. Zelenyuk’un, yabancı istihbarat ajanslarına zafiyet satmakla suçlandığı bildirildi ve kendisinin casus yazılım ve hack teknolojileri geliştirmeye yönelik çalışmalarda bulunduğu iddia ediliyor. Hazine, Zelenyuk’un sosyal medya üzerinden hackerları işe aldığı ve yabancı istihbarat ajanslarıyla bağlantılar geliştirdiğini açıkladı. (Operation Zero’nun X ve Telegram’da hesapları bulunuyor.)
Hazine kaynaklarına göre, Operation Zero “ABD hükümeti ve seçkin müttefikleri için yalnızca özel kullanım amacıyla yaratılmış en az sekiz teşhis siber aracı” edindi ve “bu çalıntı araçları en az bir yetkisiz kullanıcıya sattı.”
Operation Zero ve Zelenyuk’a yönelik yaptırımlar, ABD’nin savunma yüklenicisi L3Harris için çalışan Peter Williams’a yönelik FBI soruşturması ile örtüşüyor. Williams, Ekim ayında şirketin en az sekiz zafiyetini belirsiz bir Rus aracısına satmaktan suçunu kabul etti.
Hazine şimdi, bu aracının Operation Zero olduğunu söylüyor; bu durum daha önce hükümet tarafından onaylanmamıştı.
İletişim
Operation Zero veya sıfır gün pazarına dair daha fazla bilginiz var mı? Duymaktan memnuniyet duyarız. Çalışma dışı bir cihazdan Lorenzo Franceschi-Bicchierai ile Signal üzerinden güvenli bir şekilde +1 917 257 1382 numarasından, veya Telegram, Keybase ve Wire üzerinden @lorenzofb ile iletişime geçebilir, ya da e-posta gönderebilirsiniz.
Williams, ABD hükümeti ve bazı önemli istihbarat ortakları için hacking ve gözetim araçları geliştiren Trenchant’ta genel müdürdü. Bu ortaklar arasında Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık yer alıyor; yani beş göz ülkeleri olarak adlandırılan ittifakın üyeleri.
Hazine, bugün açıklanan yaptırımlara dair birçok sorunun yanıtını vermedi.
Zelenyuk’a yönelik yaptırımların yanı sıra ABD Hazine Bakanlığı, Birleşik Arap Emirlikleri merkezli bir bağlı şirket olan Special Technology Services’a da yaptırım uyguladı. Ayrıca, Zelenyuk’un asistanı Marina Evgenyevna Vasanovich ile Operation Zero ile bağlantılı olduğu iddia edilen Azizjon Makhmudovich Mamashoyev ve Oleg Vyacheslavovich Kucherov da yaptırıma tabi tutuldu.
Operation Zero, Special Technology Services ve Zelenyuk, Hazine’ye göre “ticaret sırlarının önemli çalıntıları” gerçekleştiren biri üzerinde yaptırım uygulama yetkisi veren 2022 federal yasası çerçevesinde yaptırıma tabi tutuldu.
Hazine, Rus vatandaşı Kucherov’un, daha önce ABD ve Birleşik Krallık tarafından yaptırıma uğramış olan ünlü fidye yazılım çetesi Trickbot’un bir üyesi olduğunu belirtti.
Mamashoyev’in, Birleşik Arap Emirlikleri merkezli bir başka sıfır gün aracısı olan Advance Security Solutions’ın kurucusu olduğu iddia ediliyor. Bu şirket de bugün yaptırım listesine alındı.
Advance Security Solutions, geçen yıl kuruldu ve her türlü akıllı telefona SMS ile hack yapabilmek için sıfır gün zafiyetleri için 20 milyon dolara kadar ödül teklif etti. Bu aracı ayrıca Android, iPhone, Windows ve Chrome gibi popüler yazılım ve donanımlar için yüksek ödemeli ödüller de sundu.
Operation Zero ve Zelenyuk, yorum talebine yanıt vermedi. Kucherov, Mamashoyev ve Vasanovich’a da hemen ulaşmak mümkün olmadı.
TechCrunch ile iletişime geçen bir kişi, Advance Security Solutions’ın sohbet hesabını yöneterek Mamashoyev’ın şirketin kurucusu olmadığını iddia etti.
