Siber güvenlik dünyasında sıfır gün (zero-day) açıkları, keşfedilmemiş yazılım güvenlik açıkları olarak büyük bir değer taşır. Bu açıkları satın almak isteyen şirketler genellikle saygın ve güvenilir kuruluşlardır. Ancak sektörde yeni bir oyuncu olan IRIS C2, iddialı vaatleri ve arkasındaki şaibeli geçmişle dikkat çekiyor. IRIS C2, popüler yazılımlardaki sıfır gün açıkları için 10.000 ila 7 milyon dolar arasında ödeme yapmayı teklif ediyor. Şirket, özellikle yüksek IQ'lu genç yetenekleri hedef alarak "çiğ yetenek" aradığını belirtiyor. Ancak araştırmalar, bu start-up'ın aslında iki eski hükümlü ve sahte istihbarat şirketi kurucusu tarafından yönetildiğini ortaya koyuyor.
IRIS C2'nin X hesabındaki sabitlenmiş bir gönderide, "İş modelimiz şu: Dünyanın en iyi güvenlik araştırmacılarını ve exploit geliştiricilerini şirketimize çekmek. Bu, genellikle çiğ yetenek ve yüksek IQ'ya sahip genç mühendisleri kapsıyor. Üniversite diploması veya sektör deneyimi aramıyoruz" ifadeleri yer alıyor. Şirketin web sitesi ve LinkedIn sayfası, açık pozisyonlar için başvuruların yağdığını belirtiyor. Ancak web sitesindeki iletişim bilgileri, Calvexa Group LLC adlı bir Virginia şirketine yönlendiriyor. Bu şirketin kayıtlı adresi, ünlü lobici Jack Burkman'ın ofisi olarak görünüyor.
Jack Burkman (60) ve Jacob Wohl (28), daha önce sahte istihbarat şirketleri kurarak kamuoyunu yanıltma konusunda ün salmış isimler. 2018'de FBI eski direktörü Robert Mueller hakkında sahte cinsel saldırı iddiaları ortaya attılar. 2019'da Senatör Elizabeth Warren ve Kamala Harris hakkında asılsız ilişki iddialarıyla basın toplantıları düzenlediler. 2020 seçimlerinde ise milyonlarca sahte otomatik arama (robocall) ile siyah seçmenleri oy kullanmaktan caydırmaya çalıştılar. Bu eylemler sonucunda Ohio'da telekomünikasyon dolandırıcılığı suçlamasıyla birer yıl denetimli serbestlik cezası aldılar ve 1 milyon dolar tazminat ödemeye mahkûm edildiler.
Detaylar ve Etkileri
Jacob Wohl'un teknoloji alanında hiçbir resmi eğitimi olmadığı, kendini "son derece teknik" olarak tanımladığı biliniyor. Wohl, 17 yaşında yatırım şirketleri kurmuş, 2015'te Fox News'te "Wall Street'in Dahisi" lakabıyla anılmıştı. Ancak 2017'de Arizona'da menkul kıymet dolandırıcılığı suçlamalarıyla karşılaştı ve 35.000 dolar tazminat ödedi. 2019'da California'da kayıt dışı menkul kıymet satışından dört suçlamayı kabul etti ve iki yıl denetimli serbestlik cezası aldı. Wohl, KrebsOnSecurity'e verdiği röportajda, IRIS C2'yi bir sızma testi şirketi olarak başlattıklarını, ancak sonradan telefon korsanlığı hizmetlerine odaklandıklarını söyledi. Federal hükümetle sözleşmeler üzerinde çalıştığını iddia etse de detay vermekten kaçındı.
Sıfır gün açığı piyasası her zaman renkli karakterlerle dolu olmuştur: araştırmacılar, akademisyenler, sahtekarlar, şöhret peşinde koşanlar ve siber suç toplulukları. Ancak ABD hükümetine saldırgan güvenlik hizmetleri satma işi genellikle daha temkinli yürütülür. Birçok devlet yüklenicisi, güvenlik araştırmacılarını işe alır ve yeni yazılım açıkları için münhasır haklar satın alır, ancak hiçbiri bunu IRIS C2 kadar açık ve pervasızca yapmaz. KrebsOnSecurity, IRIS C2'yi ilk kez geçen ay bir siber güvenlik konferansında fark etti. Bir katılımcı, Wohl ve Calvexa Group'un konferansta araştırmacılara "açıklarınızı satın alalım" diye baskı yaptığını bildirdi.
IRIS C2'nin bu kadar agresif bir şekilde açık satın alması, sektörde endişe yaratıyor. Zira Wohl ve Burkman'ın geçmişi, bu açıkların kötü niyetli amaçlarla kullanılabileceğini düşündürüyor. Hükümet sözleşmeleri iddiası, şirketin meşruiyetini sorgulatıyor. Wohl'un teknoloji bilgisi konusundaki övünmeleri ise güven vermiyor. "Teknoloji hakkında herkesten daha fazla bilgim var" diyen Wohl, kendini "baş döndürücü yetenekler yaratabilen" biri olarak tanımlıyor. Ancak bu iddialar, şirketin asıl amacının ne olduğu sorusunu akıllara getiriyor: Gerçekten siber güvenliğe katkı mı, yoksa yeni bir dolandırıcılık mı?
Güvenlik araştırmacıları, IRIS C2'ye karşı dikkatli olmalı. Şirketin vaat ettiği yüksek ödemeler cazip görünse de, arkasındaki isimlerin geçmişi büyük bir risk işareti. Açık satışı yapmadan önce, IRIS C2'nin itibarını ve hukuki durumunu araştırmak önemli. Ayrıca, bu tür şirketlere açık satmanın potansiyel etik ve yasal sonuçları da göz önünde bulundurulmalı. Sıfır gün açıkları, doğru ellere gitmezse, büyük çaplı siber saldırılara yol açabilir. Bu nedenle, araştırmacıların güvenilir ve saygın alıcılarla çalışması kritik.
Kaynak: krebsonsecurity.com