Siber güvenlik dünyasında, popüler yazılımlardaki sıfır gün güvenlik açıklarını satın almak için milyonlarca dolar harcadığını iddia eden bir startup, aslında iki aşırı sağcı komplo teorisyeni ve sabıkalı tarafından yönetiliyor. IRIS C2 adlı bu girişim, daha önce sahte istihbarat şirketleri ve yapay zeka tabanlı bir lobi platformu kuran Jacob Wohl ve Jack Burkman'ın yeni projesi olarak dikkat çekiyor. Şirketin X hesabında yayınlanan bir gönderiye göre, iş modeli dünyanın en iyi güvenlik araştırmacılarını ve exploit geliştiricilerini çekmek üzerine kurulu. Özellikle yüksek IQ'ya sahip genç mühendisleri hedef alan şirket, eğitim veya deneyim şartı aramıyor.
IRIS C2'nin web sitesi, sıfır gün exploitleri, bireysel ilkeller, kısmi zincirler ve tüm platformlardaki tam yetenekler için 10.000 ila 7 milyon dolar arasında ödeme yaptığını iddia ediyor. Devlet sözleşmeleri portalı G2Exchange'e göre, irisc2.com alan adı Virginia merkezli Calvexa Group LLC tarafından işletiliyor. Calvexa Group'un web sitesi ise doğrudan IRIS C2'ye yönlendiriyor. Şirket federal bir yüklenici olarak kayıtlı olsa da, herhangi bir doğrudan devlet sözleşmesi üzerinde çalışmıyor gibi görünüyor. Şirketin adresi, lobi firması Burkman & Associates'in kurucusu Jack Burkman'a ait. Burkman, konuyla ilgili soruları uzun süredir birlikte çalıştığı Jacob Wohl'a yönlendirdi.
Jack Burkman ve Jacob Wohl'ın geçmişi, sahte istihbarat şirketleri kurmak ve bu şirketleri kullanarak kamu figürlerine iftira atmakla dolu. 2019'da, dönemin FBI Direktörü Robert Mueller, South Bend Belediye Başkanı Pete Buttigieg, Senatör Elizabeth Warren ve eski başkan adayı Kamala Harris hakkında uydurma cinsel saldırı iddialarında bulundular. 2020 başkanlık seçimlerinin ardından, birçok ABD eyaleti tarafından savaş alanı eyaletlerindeki seçmenlere binlerce otomatik arama yaparak posta oyları hakkında yanlış bilgi yaymaktan yargılandılar. Detroit'te siyahi seçmenleri baskılamayı amaçlayan bu plan nedeniyle 15 ağır suçtan itham edilen ikili, 2025 yılında temyiz başvurularının reddedilmesinin ardından denetimli serbestlik cezasına çarptırıldı.
Teknik Analiz
Wohl ve Burkman, 2022'de Ohio'da bir ağır suç olan telekomünikasyon dolandırıcılığı suçunu kabul ederek para cezası, denetimli serbestlik ve toplum hizmeti cezası aldı. Mart 2023'te New York'taki bir hukuk davasında, federal ve eyalet sivil haklar yasalarını ihlal ettiklerine karar verildi ve 1 milyon dolar tazminat ödemeyi kabul ettiler. Haziran 2023'te Federal İletişim Komisyonu (FCC), otomatik arama kampanyaları nedeniyle Wohl ve Burkman'a 5,1 milyon dolar para cezası kesti; bu, FCC'nin Telefon Tüketiciyi Koruma Yasası kapsamında talep ettiği en büyük cezaydı.
Detaylar ve Etkileri
Jacob Wohl, 17 yaşında birden fazla yatırım şirketi kurdu ve 2015'te Fox News'te yeni hedge fonlarını tartıştıktan sonra 'Wall Street'in Dahisi' lakabını kazandı. Ancak 2017'de Arizona Kurumlar Komisyonu, Wohl ve yatırım fonlarını 14 ayrı menkul kıymet dolandırıcılığı suçlamasıyla kovuşturdu ve 35.000 dolar tazminat ödemesine hükmetti. 2019'da California'da kayıtsız menkul kıymet satmaktan dört ağır suçlamayı kabul ederek iki yıl denetimli serbestlik cezası aldı.
Uzmanların Görüşleri
Sıfır gün güvenlik açıkları pazarı her zaman renkli bir araştırmacı, akademisyen, şarlatan, ilgi avcısı ve siber suç topluluklarından insan karışımına ev sahipliği yapmıştır. Ancak ABD hükümetine saldırı güvenlik hizmetleri satma pazarı genellikle çok daha gizlidir. Birçok devlet yüklenicisi güvenlik araştırmacılarını işe alır ve yeni yazılım açıkları için münhasır haklar için ödeme yapar, ancak hiçbiri bunu IRIS C2 kadar açık ve cüretkar bir şekilde yapmaz. KrebsOnSecurity, IRIS C2'yi geçen ay bir siber güvenlik konferansında Wohl ve Calvexa Group'un araştırmacıları rahatsız ettiğini duyana kadar bilmiyordu.
KrebsOnSecurity ile yaptığı röportajda Wohl, Burkman'ın IRIS C2'nin günlük operasyonlarına dahil olmadığını söyledi. Şirketin başlangıçta bir penetrasyon testi şirketi olarak başladığını ancak son zamanlarda hükümete telefon korsanlığı hizmetleri satmaya odaklandığını paylaştı. Röportaj boyunca birkaç kez federal hükümet sözleşmeleri üzerinde çalıştığından bahsetti, ancak ayrıntı istendiğinde bunlar hakkında kamuya açık konuşma yetkisi olmadığını söyledi. Wohl, bilgisayar bilimi veya bilgi güvenliği alanında resmi bir eğitimi olmadığını, çoğu bilgiyi kendi kendine öğrendiğini itiraf etti. 'Teknoloji hakkında herkesten daha çok şey biliyorum' diye övünen Wohl, güvenlik araştırmacılarının şirkete düzenli olarak benzersiz güvenlik açıkları getirdiğini ancak çoğu durumda bu bulguların ön hazırlık aşamasında olduğunu söyledi.
Nasıl Önlem Alınmalı?
Bu durum, siber güvenlik sektöründe güven ve şeffaflığın ne kadar önemli olduğunu bir kez daha gözler önüne seriyor. Suç geçmişine sahip kişilerin elindeki bir girişimin, özellikle de hassas sıfır gün açıkları gibi kritik varlıkları satın alması, potansiyel müşteriler ve ortaklar için büyük bir risk oluşturuyor. IRIS C2'nin hükümet sözleşmeleri yaptığı iddiası, bu tür bir iş birliğinin güvenlik risklerini artırabileceğini düşündürüyor. Wohl ve Burkman'ın geçmişteki dolandırıcılık faaliyetleri, şirketin iş modeline ve vaatlerine şüpheyle yaklaşılmasına neden oluyor. Siber güvenlik topluluğunun, bu tür şeffaf olmayan ve geçmişi sorgulanabilir aktörlere karşı dikkatli olması gerekiyor.
Kaynak: krebsonsecurity.com