Siber güvenlik dünyası, son günlerde oldukça sıra dışı bir girişimle çalkalanıyor. IRIS C2 adlı bir start-up, popüler yazılımlardaki sıfır gün güvenlik açıklarını satın almak için 10 bin dolardan 7 milyon dolara kadar ödeme yapacağını duyurdu. Ancak şirketin arkasındaki isimler, siber güvenlikten çok uzak: aşırı sağcı komplo teorisyeni ve sabıkalı iki isim, Jacob Wohl ve Jack Burkman. İkili, daha önce sahte istihbarat şirketleri ve yapay zeka tabanlı bir lobi platformuyla gündeme gelmişti.
IRIS C2'nin X hesabında yayınlanan bir gönderide, şirketin dünyanın en iyi güvenlik araştırmacılarını ve exploit geliştiricilerini çekmeyi hedeflediği belirtiliyor. Özellikle yüksek IQ'ya sahip genç mühendislerin arandığı vurgulanırken, üniversite diploması veya sektör deneyiminin önemsenmediği ifade ediliyor. Şirketin web sitesi irisc2.com'da ise sıfır gün açıkları, bireysel primitifler, kısmi zincirler ve tam yetenekler için ödeme yapıldığı yazıyor.
Devlet sözleşmeleri portalı g2exchange.com, IRIS C2'yi işleten şirketin Virginia merkezli Calvexa Group LLC olduğunu gösteriyor. Calvexa Group'un iletişim sayfası ise doğrudan IRIS C2'ye yönlendiriyor. Şirketin resmi adresi Arlington, Virginia'da bulunan bir binaya ait ve bu bina, lobi şirketi Burkman & Associates'in kurucusu Jack Burkman tarafından kullanılıyor. Burkman, IRIS C2 ile ilgili soruları uzun süredir birlikte çalıştığı Jacob Wohl'a yönlendirdi.
Jacob Wohl ve Jack Burkman'ın geçmişi oldukça kabarık. İkili, daha önce sahte istihbarat şirketleri kurarak kamuoyunu yanıltmış, eski FBI Direktörü Robert Mueller ve ABD Başkan Yardımcısı Kamala Harris gibi isimler hakkında asılsız cinsel saldırı iddiaları ortaya atmıştı. 2020 seçimlerinin ardından, posta yoluyla oy kullanma hakkında yanlış bilgiler içeren on binlerce otomatik arama yaparak seçmenleri etkilemeye çalıştıkları gerekçesiyle birçok eyalette yargılandılar. Ohio'da telekomünikasyon dolandırıcılığı suçunu kabul eden ikili, 2025'te 15 ağır suçtan yargılandıkları davada denetimli serbestlik cezası aldı.
Önemli Gelişmeler
Wohl, henüz 17 yaşında yatırım şirketleri kurmuş ve 'Wall Street'in Dahisi' lakabını kazanmıştı. Ancak 2017'de Arizona'da menkul kıymet dolandırıcılığı suçlamalarıyla karşı karşıya kaldı ve 35 bin dolar tazminat ödemeye mahkum edildi. 2019'da Kaliforniya'da kayıtsız menkul kıymet satışı suçunu kabul eden Wohl, iki yıl denetimli serbestlik cezası aldı. FCC, ikilinin otomatik arama kampanyaları nedeniyle 5.1 milyon dolar para cezası kesti.
IRIS C2, güvenlik araştırmacılarına cazip ödemeler vaat ederken, Wohl'un teknik geçmişi sorgulanıyor. Wohl, KrebsOnSecurity'e verdiği röportajda bilgisayar bilimi veya bilgi güvenliği alanında resmi bir eğitimi olmadığını, ancak kendini 'son derece teknik' olarak tanımladığını söyledi. Başlangıçta bir sızma testi şirketi olarak kurulan IRIS C2'nin, daha sonra hükümete telefon hackleme hizmetleri satmaya odaklandığını belirtti. Wohl, federal sözleşmeler üzerinde çalıştığını iddia etse de, ayrıntı vermekten kaçındı.
Sıfır gün açıkları pazarı her zaman renkli bir kitleyi barındırmıştır: araştırmacılar, akademisyenler, sahtekarlar ve siber suç toplulukları. Ancak ABD hükümetine saldırı amaçlı güvenlik hizmetleri satmak genellikle daha temkinli bir yaklaşım gerektirir. IRIS C2, bu kadar açık ve pervasız bir şekilde faaliyet gösteren nadir girişimlerden biri. Güvenlik uzmanları, bu tür şirketlerin kötü niyetli aktörlerin eline geçebilecek kritik açıkların ticaretini yapmasının ciddi riskler taşıdığı konusunda uyarıyor.
Kaynak: krebsonsecurity.com