Siber güvenlik dünyası, popüler yazılımlardaki sıfırıncı gün (zero-day) güvenlik açıklarını satın almak için milyonlarca dolar teklif eden bir start-up ile çalkalanıyor. Ancak bu şirketin arkasındaki isimler, daha önce sahte istihbarat şirketleri ve yapay zeka tabanlı bir lobi platformu kuran, aşırı sağcı komplo teorisyenleri ve sabıkalı dolandırıcılar: Jack Burkman ve Jacob Wohl. IRIS C2 adlı bu girişim, açıkça sıfırıncı gün açıkları, bireysel ilkeller, kısmi zincirler ve tüm yetenekler için 10.000 ila 7 milyon dolar arasında ödeme yapacağını duyuruyor.
IRIS C2'nin X hesabındaki sabitlenmiş bir gönderide, "İş modelimiz şu: Dünyanın en iyi güvenlik açığı araştırmacılarını ve exploit geliştiricilerini şirketimize çekmek. Bu, çoğunlukla ham yetenekli/yüksek IQ'lu genç mühendisleri kapsıyor. Üniversite diplomasına veya sektör deneyimine sahip olup olmadıkları umurumuzda değil," ifadeleri yer alıyor. Şirketin LinkedIn sayfası, potansiyel çalışanlardan gelen başvuruların sayısından duyduğu memnuniyeti dile getiriyor.
Şirketin web sitesi irisc2[.]com, Calvexa Group LLC adlı bir Virginia şirketi tarafından işletiliyor. Calvexa Group'un iletişim sayfası ise doğrudan IRIS C2'ye yönlendiriyor. G2Exchange verilerine göre Calvexa Group LLC federal bir yüklenici olarak kayıtlı olsa da, doğrudan herhangi bir hükümet sözleşmesi üzerinde çalışmıyor. Şirketin kayıtlı adresi, Burkman & Associates lobi firmasının kurucusu Jack Burkman'a ait.
Jack Burkman ve Jacob Wohl, geçmişte sahte istihbarat şirketleri kurarak kamuya mal olmuş kişilere iftira atmakla tanınıyor. 2019'da FBI eski direktörü Robert Mueller ve dönemin South Bend Belediye Başkanı Pete Buttigieg hakkında uydurma cinsel saldırı iddiaları ortaya attılar. Ayrıca Senatör Elizabeth Warren ve eski başkan adayı Kamala Harris hakkında da asılsız evlilik dışı ilişki iddialarıyla basın toplantıları düzenlediler.
Önemli Gelişmeler
2020 başkanlık seçimlerinin ardından, Wohl ve Burkman, saldırgan eyaletlerdeki seçmenlere sahte oy pusulası iddiaları içeren binlerce robocall yapmaktan yargılandı. Detroit'te siyah seçmenleri baskılamayı amaçlayan bir robocall planı nedeniyle 15 ağır suçtan (felony) suçlandılar ve 2025'in sonunda, itirazları reddedilince denetimli serbestlik cezası aldılar. 2022'de Ohio'da telekomünikasyon dolandırıcılığı suçunu kabul ederek para cezası, denetimli serbestlik ve toplum hizmeti cezasına çarptırıldılar.
Federal İletişim Komisyonu (FCC), Haziran 2023'te robocall kampanyaları nedeniyle Wohl ve Burkman'a 5,1 milyon dolar para cezası verdi. Bu, FCC'nin o ana kadar uyguladığı en büyük cezaydı. Wohl, 17 yaşında yatırım firmaları kurmuş ve 'Wohl of Wall Street' lakabını kazanmıştı, ancak 2017'de Arizona'da menkul kıymet dolandırıcılığı suçlamalarıyla karşı karşıya kaldı ve 2019'da Kaliforniya'da kayıt dışı menkul kıymet satışından dört ağır suçu kabul ederek iki yıl denetimli serbestlik cezası aldı.
Sıfırıncı gün açıkları pazarı her zaman araştırmacılar, akademisyenler, sahtekarlar ve siber suç topluluklarından insanlarla dolu olsa da, ABD hükümetine saldırı güvenlik hizmetleri satma pazarı genellikle daha ihtiyatlıdır. Birçok hükümet yüklenicisi güvenlik açığı araştırmacılarını işe alır ve yeni exploit'lerin münhasır haklarını satın alır, ancak hiçbiri bunu IRIS C2 kadar pervasızca ve açıkça yapmaz. KrebsOnSecurity, IRIS C2'yi ilk olarak geçen ay bir siber güvenlik konferansında katılımcıların Wohl ve Calvexa Group'un kendilerini sıkıştırdığını paylaşmasıyla duydu.
Sistem Güvenliği
KrebsOnSecurity ile yaptığı röportajda Wohl, Burkman'ın IRIS C2'nin günlük operasyonlarına dahil olmadığını söyledi. Wohl, IRIS C2'nin başlangıçta bir sızma testi şirketi olarak kurulduğunu ancak yakın zamanda hükümete telefon hackleme hizmetleri satmaya odaklandığını belirtti. Wohl, bilgisayar bilimi veya bilgi güvenliği konusunda resmi bir eğitimi olmadığını, ancak 'teknoloji hakkında herkesten daha fazla şey bildiğini' iddia etti. Wohl'a göre, güvenlik araştırmacıları düzenli olarak şirkete benzersiz açıklar getiriyor, ancak çoğu durumda bu bulgular ön hazırlık aşamasında ve tam olarak işlenmemiş oluyor.
Kaynak: krebsonsecurity.com