Siber güvenlik dünyasında yeni bir oyuncu ortaya çıktı: IRIS C2. Bu girişim, popüler yazılımlardaki sıfır gün güvenlik açıklarını satın almak için milyonlarca dolar vaat ediyor. Ancak şirketin arkasındaki isimler, aşırı sağcı komplo teorisyenleri ve daha önce birçok dolandırıcılıktan hüküm giymiş kişiler: Jack Burkman ve Jacob Wohl. İkili, daha önce sahte istihbarat şirketleri ve yapay zeka tabanlı lobi platformları kurarak tanınmıştı.
IRIS C2, X hesabında yaptığı açıklamada, 'Dünyanın en iyi güvenlik araştırmacılarını ve exploit geliştiricilerini çekmek istiyoruz. Özellikle yüksek IQ'ya sahip genç mühendisleri hedefliyoruz. Diploma veya deneyim aramıyoruz' ifadelerine yer veriyor. Şirketin web sitesi irisc2.com, sıfır gün açıkları, bireysel primitifler ve tam exploit zincirleri için 10.000 ila 7 milyon dolar arasında ödeme yaptığını iddia ediyor. Bu durum, siber güvenlik camiasında büyük bir şaşkınlık yarattı.
Şirket, Virginia merkezli Calvexa Group LLC adlı bir işletme üzerinden faaliyet gösteriyor. G2Exchange portalına göre Calvexa Group federal bir yüklenici olarak kayıtlı ancak herhangi bir devlet sözleşmesi üzerinde çalışmıyor. Şirketin adresi, Burkman'ın lobi şirketi Burkman & Associates'in bulunduğu binayla aynı. Burkman, konu hakkında soruları uzun süredir birlikte çalıştığı Jacob Wohl'a yönlendirdi.
Burkman ve Wohl'un geçmişi oldukça renkli. İkili, sahte istihbarat şirketleri kurarak FBI direktörü Robert Mueller ve eski South Bend Belediye Başkanı Pete Buttigieg hakkında uydurma cinsel saldırı iddiaları yaymıştı. 2019'da Senatör Elizabeth Warren ve Kamala Harris hakkında da benzer iftiralar atmışlardı. 2020 seçimlerinden sonra, posta yoluyla oy kullanma hakkında yalan bilgiler içeren milyonlarca robot arama yaparak seçmenleri baskılamaya çalıştıkları için birden fazla eyalette yargılandılar.
Sonuç ve Değerlendirme
Wohl ve Burkman, Ohio'da telekomünikasyon dolandırıcılığı suçlamasıyla 2022'de birer kez suçlu bulundu ve para cezası, denetimli serbestlik ve toplum hizmeti cezası aldı. 2023'te New York'taki bir hukuk davasında federal ve eyalet sivil haklar yasalarını ihlal ettikleri gerekçesiyle 1 milyon dolar tazminat ödemeye mahkum edildiler. FCC ise 2023'te robot arama kampanyaları nedeniyle 5.1 milyon dolar para cezası kesti; bu, FCC tarihindeki en yüksek cezalardan biriydi.
Gelecekte Ne Bekleniyor?
Jacob Wohl, 17 yaşında yatırım şirketleri kurmaya başlamış ve Fox News'te boy göstererek 'Wall Street'in Wohl'u lakabını kazanmıştı. 2017'de Arizona Menkul Kıymetler Komisyonu tarafından 14 ayrı menkul kıymet dolandırıcılığı suçlamasıyla karşı karşıya kaldı ve 35.000 dolar tazminat ödemeye mahkum edildi. 2019'da California'da kayıtsız menkul kıymet satışından dört kez suçlu bulundu ve iki yıl denetimli serbestlik cezası aldı.
IRIS C2'nin iş modeli, siber güvenlik dünyasında alışılmadık bir cesaret sergiliyor. Genellikle devlet yüklenicileri, güvenlik açıklarını gizli tutarak ve sadece sınırlı bir kitleye sunarak faaliyet gösterirken, IRIS C2 bu açıkları alenen reklam ediyor. Wohl, KrebsOnSecurity'e verdiği röportajda, şirketin başlangıçta bir penetrasyon testi şirketi olduğunu ancak sonradan telefon korsanlığı hizmetlerine odaklandığını söyledi. Federal sözleşmeler üzerinde çalıştığını iddia eden Wohl, detay vermekten kaçındı.
Sistem Güvenliği
Wohl, bilgisayar bilimi veya bilgi güvenliği konusunda resmi bir eğitimi olmadığını, her şeyi kendi kendine öğrendiğini belirtti. 'Teknolojiden herkesten daha fazla anlıyorum' diyerek övünen Wohl, 'İnsanlar beni akıllarını başından alacak olağanüstü yetenekler üreten biri olarak tanır' ifadelerini kullandı. Ancak uzmanlar, Wohl ve Burkman'ın geçmişteki dolandırıcılık faaliyetleri göz önüne alındığında, IRIS C2'nin güvenilirliğinin sorgulanması gerektiğini vurguluyor.
Kaynak: krebsonsecurity.com