Siber güvenlik dünyasında yeni bir oyuncu olan IRIS C2, popüler yazılımlardaki 0-gün güvenlik açıklarını satın almak için milyonlarca dolar harcayacağını duyurdu. Ancak şirketin arkasında, aşırı sağcı komplo teorisyenleri ve sabıkalı dolandırıcılar olan Jack Burkman ile Jacob Wohl'ün bulunduğu ortaya çıktı. İkili, daha önce sahte istihbarat şirketleri ve yapay zeka tabanlı bir lobi platformu işletmişti.
IRIS C2'nin X hesabında sabitlenmiş bir gönderide şu ifadeler yer alıyor: 'İş modelimiz, dünyanın en iyi zafiyet araştırmacılarını ve exploit geliştiricilerini şirketimize çekmek. Çoğunlukla yüksek IQ'ya sahip, ham yetenekli genç mühendislere odaklanıyoruz. Üniversite diploması veya sektör deneyimi aramıyoruz.' Şirket, web sitesinde 10.000 ila 7 milyon dolar arasında ödeme yaparak 0-gün exploitleri, ilkel saldırı bileşenleri ve tam zincir saldırılar satın aldığını belirtiyor.
Hükümet sözleşme portalı G2Exchange, irisc2.com adresinin Virginia merkezli Calvexa Group LLC tarafından işletildiğini gösteriyor. Şirketin kayıtlı adresi, lobici Jack Burkman'ın ofisiyle aynı yerde bulunuyor. Burkman, konuyla ilgili soruları uzun süredir birlikte çalıştığı Jacob Wohl'e yönlendirdi.
Sonuç ve Değerlendirme
Burkman ve Wohl'ün geçmişi, sahte istihbarat şirketleri kurarak kamu figürlerini karalama kampanyalarıyla dolu. 2019'da, dönemin FBI direktörü Robert Mueller ve başkan adayı Pete Buttigieg hakkında asılsız cinsel saldırı iddiaları yaydılar. Ayrıca Elizabeth Warren ve Kamala Harris hakkında da sahte açıklamalar yaptılar.
2020 seçimlerinden sonra, Burkman ve Wohl, kritik eyaletlerdeki seçmenlere posta yoluyla oy kullanma hakkında yanlış bilgiler içeren milyonlarca robocall yapmaktan suçlu bulundu. Ohio'da telekomünikasyon dolandırıcılığı suçunu kabul ederek para cezası ve denetimli serbestlik cezası aldılar. FCC, 2023'te ikiliye 5,1 milyon dolar para cezası kesti.
Gelecekte Ne Bekleniyor?
Jacob Wohl, 17 yaşında yatırım şirketleri kurdu ve 'Wall Street'in Wohl'ü' lakabını kazandı. Ancak 2017'de Arizona'da menkul kıymet dolandırıcılığı suçlamalarıyla karşılaştı ve 2019'da California'da kayıt dışı menkul kıymet satışından suçlu bulundu. Siber güvenlik konusunda resmi bir eğitimi olmadığını belirten Wohl, kendini 'son derece teknik' olarak tanımlıyor.
IRIS C2, hükümet sözleşmeleri için açıkça zafiyet araştırmacıları arayan ender şirketlerden biri. Genellikle bu tür işler gizli yürütülür. Ancak KrebsOnSecurity, Wohl ve Calvexa Group'un bir siber güvenlik konferansında katılımcıları zafiyetlerini satmaları için rahatsız ettiğini öğrendi. Wohl, hükümet sözleşmeleri üzerinde çalıştığını ancak detay veremeyeceğini söyledi.
Teknik Analiz
Wohl, güvenlik araştırmacılarının düzenli olarak şirkete benzersiz zafiyetler getirdiğini, ancak çoğu zaman bu bulguların henüz tam gelişmemiş olduğunu belirtti. 'Telefondaki bir medya kodlayıcısında hata bulan biri, bize yalnızca bir exploit ilkeli getirebilir; fikir oradadır ama tamamlanmamıştır' dedi. Bu açıklamalar, şirketin gerçek bir tehdit istihbaratı mı yoksa bir dolandırıcılık girişimi mi olduğu sorusunu akıllara getiriyor.
Kaynak: krebsonsecurity.com