İnsanlığın öncelikli ortak siber tehdidi: Pegasus casus yazılımı

Casus yazılımın bir sektör olmasına, pazar oluşturmasına izin verilemez. Bu tür siber istihbarat yazılımları, satın alanın vizyonu, vicdanı ve dünya görüşüne bırakılamaz.

Google Haberlere Abone ol

Her şey ilkbaharda büyük çapta veri sızıntısıyla başladı. Forbidden Stories adlı, kâr amacı gütmeyen sivil toplum örgütü, ulaştığı verileri Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’nın işbirliğiyle dünya çapında 16 haber kuruluşuyla* paylaştığı bir proje başlattı: Pegasus Projesi (The Pegasus Project).

Projeye dahil olan haber kuruluşları, ulaşılan verileri anlamlandırmaya ve verilerin hangi kapılara çıkacağını araştırmaya başladı. Gazetecilerin ortaya çıkarmaya başladığı hikayeler, Pegasus casus yazılımının açıkça bütün dünya ve demokrasi için birincil seviyede tehdit olarak görülmesine sebep olacak cinsten. Şimdi adım adım Pegasus’un nasıl çalıştığını, yazılımı üreten NSO Grup’u ve casus yazılımın hedefinde olanlara bakalım.

PEGASUS NASIL ÇALIŞIR, CİHAZLARA NASIL SIZAR, NELERE ERİŞEBİLİR?

Pegasus Projesi’ne dahil olan haber kuruluşlarının yayınlarından öğrenebildiğimiz kadarıyla Pegasus şöyle çalışıyor: 2000 sonrası dönemde özellikle ticarî dolandırıcılık amacıyla kullanılan, bildiğimiz oltalama yöntemi birinci basamak. Yani size bir SMS ile link geliyor, tıkladığınızda cihazınıza zararlı yazılım yüklenmesi için tarayıcıda sayfa açılıyor ve indirme başlıyor. Bu yöntem işlemezse sosyal mühendislik devreye giriyor. SMS’teki link tıklanmadığı takdirde ikinci bir SMS geliyor ve bu tür zararlı mesajların gelmesini önlemek için mesajdaki linke tıklanması öneriliyor. Mesaja gömülmüş bu linklerle hedefler duygusal anlamda manipüle ediliyor. Bu mesajların içeriği, hedef kişiyi etkileyecek bir indirim kuponu, ilginç bir haber ve benzeri içeriklerden oluşabiliyor.

Birçok telefon kullanıcısının zaman içinde medya ve teknoloji okuryazarlığının artmasıyla bu tür linklere tıklamaması ve hatta mesajları direkt silmeye yönelmesiyle birlikte NSO Grup, yeni bir taktik geliştirmek için kolları sıvıyor. Buldukları yeni yönteme ise sıfır tıklama saldırıları (zero-click exploits) deniyor. Şirket, milyarlarca cihazda yüklü iMessage, WhatsApp, FaceTime gibi popüler uygulamalardaki açıkları bulmaya çalışıyor. Zira bu tür uygulamalar bilinmeyen kaynaklardan veri alabiliyor, saklayabiliyor. İşte bir kez bu arka kapı bulunduktan sonra, uygulamanın kendi protokolü kullanılarak Pegasus cihazın içine sızabiliyor. Uluslararası Af Örgütü Güvenlik Laboratuvarı’ndan Claudio Guarnieri, özellikle 2019 sonrası çoğu cihaza bu şekilde sızıldığını tespit ettiklerini aktarıyor.

Sıfır tıklama saldırısının yanı sıra NSO, Pegasus’u hedef cihaza yüklemek için, hedef kişinin tam güvenli olmayan bir web sitesini ziyaret etmesini de bekleyebiliyor. Korumasız bir sitede herhangi bir bağlantı tıklandığında Pegasus, milisaniyeler içinde cihaza sızıyor. Bu yöntem de ağ enjeksiyonu (network injection) olarak tanımlanıyor.

Pegasus’un cihazlara sızdıktan sonra cihazın gerçek sahibi olan, ‘hedeflerin’ geçmişte yaptığı ve gelecekte yapacağı her şeyi görüyor; bütün bilgilere, kayıtlara erişebiliyor. Mesajlar, rehber, medya galerisi, e-posta kutuları, konum bilgisine, diğer uygulamalara ve kullanıcının bu uygulamalarda neler yaptığına… Gerçekten de her şey. Daha da korkutucu olanı ise, cihazın mikrofonunu veya kamerasını çalıştırabiliyor, kayıt alabiliyor. Hatta ekrandaki parmak hareketlerini kaydedebiliyor. Banka hesaplarından, arama yapmaktan vazgeçilen bir tarayıcı arama çubuğu hareketlerine kadar her şey… Yani telefon kullanıcısı farkında olmadan cihazdaki ve bağlantılı, oturum açılan bütün hesaplardaki veriler casus yazılım aracılığıyla toplanıyor.

PEGASUS’UN ÜRETİCİSİ NSO GRUP KİMDİR, CASUS YAZILIM KİMLERE SATILDI?

Pegasus’un üreticisi ve satıcısı İsrail merkezli bir ‘siber istihbarat’ şirketi olan NSO Grup. NSO, bu iddialar ortaya atıldığında müşterilerinin sadece hükümetler, askeri kurumlar ve istihbarat kurumları olduğunu açıkladı. NSO, Pegasus’u insan hakları ihlali yapmayan, güvenilirliği yüksek devletlere sattığını da açıkladı. Şirket, ortaya atılan iddialardan ‘makul’ olanlara dair kendi iç soruşturmasını yürütebileceğini de ekledi.

NSO, casus yazılımın üreticisi olsa da, İsrail Savunma Bakanlığı onayı olmadan bu yazılımı istediği herhangi bir müşteriye (devlete) satamıyor. İhracı kritik mal ve hizmet olarak görülen Pegasus casus yazılımı, İsrail devlet onayıyla başka bir devlete lisanslanabiliyor.

NSO, Pegasus’u terörizm ve organize suçlarla mücadele amacıyla devletlere sattığını açıklasa da veri sızıntısıyla ortaya çıkan yaklaşık 50 bin kişinin bilgilerini barındıran izleme listesi bu açıklamayı yalanlıyor. Devletler; gazetecileri, aktivistleri, iş insanlarını, dini liderleri, muhalif siyasetçileri ve kendilerine tehdit olabilecek birçok insanı ve hatta yakın çevresini izlemek için harekete geçmiş. 50 bin kişilik listedeki insanların ne kadarının telefonlarına sızılabildiği ise şimdilik bilinmiyor. Projeye katılan 16 haber kuruluşu bu listeyi ve ellerindeki verileri ayıklamaya, anlamlandırmaya, teyit etmeye devam ediyor. Günden güne casus yazılıma maruz kalan insanların artacağına ise şüphe yok. Bu konuya biraz sonra detaylı olarak değineceğim.

NSO Grup’un kurucusu Shalev Hulio, geçen yıl Die Zelt’e verdiği bir röportajda meşru hedefin, Pegasus’u satın alan müşteriye göre şekillendiğini söylemiş. Muhabir soruyor: “Bir avukat yasal bir hedef midir? Bir insan hakları aktivisti, yasal bir hedef mi? … Evet veya hayır? On altı yaşında bir çocuk mu?" Hulio’nun cevabı ise tam olarak şöyle: Duruma bağlı.

NSO’nun, Pegasus casus yazılımının saldırılarının erken aşamalarında bir AWS (Amazon Web Services) hizmeti olan CloudFront’u kullandığı tespitinin Uluslararası Af Örgütü’nün raporunda yer alması üzerine bir AWS sözcüsü, NSO ile ilgili AWS bulut bilişim hesaplarının kapatıldığını açıkladı. İsrail hükümeti ise medyada yer bulan iddiaları araştırmak üzere bir ‘görev gücü’ kuracağını duyurdu.

NSO’nun Pegasus’u kimlere sattığı bilinmese de aşağıda ismini göreceğiniz bazı devletlerin bu yazılıma sahip olduğu kuvvetle muhtemel.

PEGASUS’LA KİMLERİN TELEFONLARINA SIZILDI?

Yazının başında bahsettiğim haber konsorsiyumu, ellerindeki veri yığınını ayıklayarak yeni bilgilere ulaşmayı sürdürüyor. Özellikle siyasetçiler, gazeteciler, dini önderler ve iş insanları şimdiye kadar tespit edilen mağdurların başında geliyor.

Geçtiğimiz birkaç gün içinde Pegasus casus yazılımıyla telefonlarına sızıldığı tespit edilen bazı üst düzey siyasetçiler şöyle sıralanıyor: Fransa Cumhurbaşkanı Emmanuel Macron, Irak Cumhurbaşkanı Barham Salih, Güney Afrika Başkanı Cyril Ramaphosa, Pakistan Başbakanı Imran Khan, Mısır Başbakanı Mustafa Madbuli, Fas Başbakanı Saadeddin Osmani. 2018’deki Meksika seçimleri öncesinde, güçlü adaylardan -bugünkü başkan- Obrador’a yakın olan 50 kişinin telefonuna da sızılmış olabileceği bilgisi mevcut. Hâlâ araştırmalar sürüyor.

Hindistan, Fas, Birleşik Arap Emirlikleri, Azerbaycan, Meksika, Suudi Arabistan, Ruanda ve Macaristan, özellikle araştırmacı gazetecilerin Pegasus’la takip edildiğinin düşünüldüğü ülkelerin başında geliyor.

İngiltere’den Roula Khalaf, Azerbaycan’dan Hatice İsmailova, Hindistan’dan Siddharth Varadarajan, Macaristan’dan Szabolcs Panyi; Pegasus marifetiyle takip edildiği telefonlarında yapılan adli araştırmalar sonucu ortaya çıkan gazetecilerden sadece bazıları.

Telegram’ın kurucusu Pavel Durov da telefonuna casus yazılım yüklenen insanların arasında.

Liste uzayıp gidiyor, günler geçtikçe adli teknik tahlillerle birlikte sadece ‘hedef’ bireylerin değil, aynı zamanda onların yakın çevrelerinin de hedef haline geldiği ve takibe maruz kaldığı görülüyor. Tibet’in sürgündeki hükümet başkanı ve dini lideri Dalai Lama’nın yakın çevresindeki danışmanlarının cihazlarına Pegasus vasıtasıyla Hindistan hükümetinin sızdığı da tahminler arasında.

Suudi Arabistan’ın İstanbul Başkonsolosluğu’nda Cemal Kaşıkçı’nın vahşice katledilmesini hepimiz hatırlarız. Kaşıkçı, izlendiğini tahmin ettiği için telefonunda özel herhangi bir medya veya materyal bulundurmasa da Suudi hükümetinin sadece onu izlemediğini, Kaşıkçı’nın son eşi Hannan Al-Atr’ın Washington Post’a verdiği röportajdan anlayabiliyoruz. Suudi istihbarat birimleri Al-Atr’ı gözaltına alıp, Kaşıkçı’yla özel ilişkisine dair sorguya çektiklerinde ona çok spesifik bir WhatsApp mesajını sormuşlar. Hannan, bu mesajı Kaşıkçı’ya attıktan hemen sonra sildiğini söylüyor. Anında sildiği bir mesajı bile tam bir cümle olarak kendisine aktardıklarında, neyi ne kadar bildiklerine dair içinde ciddi bir huzursuzluk başladığını aktarıyor.

CASUS YAZILIMLAR BÜTÜN DÜNYAYI VE BÜTÜN İNSANLIĞI, MEDENİYETİ TEHDİT EDİYOR

Henüz birkaç gündür Pegasus Projesi’ne dair teyit edilmiş bilgiler ve haberler yayınlanmaya başlamış olsa da bu kadarı bile demokrasinin, modern medeniyetin ve tüm dünyanın ne kadar büyük bir tehditle karşı karşıya olduğunu göstermeye yetiyor.

Geçtiğimiz birkaç on yılda teknoloji devi şirketlerin ürün ve hizmetlerinin ücretsiz kullanımına karşılık topladığı ve işlediği, üçüncü taraflara ‘anonim’ olarak sattığı kişisel veriler herkesin malumu. Toplanan verilerin ticari kullanımında bile küresel bilinç bu denli gelişirken, Pegasus casus yazılımı gibi toplumsal ve politik hayatı ulusal ve küresel ölçekte kökünden etkileyebilecek araçlar fazlasıyla kaygı verici. Bu tür casus yazılımlar kesinlikle insan hakları ihlali sayılmalı. Ne devletler ne ticari tüzel kişilikler ne de bireylerin kullanımına açık olmamalıdır. Hatta Pegasus benzeri yazılımların demokrasiye ne kadar zarar verebileceği hesaba katılmalıdır. Bu tür araçları elde eden totaliter rejimlerin toplumu, teknoloji yoluyla kontrol etme çabasını artırarak özgürlük alanlarını sonlandıracağı düşünülmelidir. Pegasus gibi yazılımların gazeteci, aktivist ve siyasi muhalif cinayetlerine dolaylı yoldan sebep olacağı hesaba katılarak bu tür siber istihbarat araçları tamamen imha edilmeli ve yeniden üretilmeleri yasal olarak engellenmelidir.

Casus yazılımın bir sektör olmasına, pazar oluşturmasına izin verilemez. Bu tür siber istihbarat yazılımları, satın alanın vizyonu, vicdanı ve dünya görüşüne bırakılamaz.

*Aristegui Noticias (Meksika), Daraj (Lübnan), Die Zeit (Almanya), Direkt36 (Macaristan), The Guardian (İngiltere), Haaretz (İsrail), Knack (Belçika), Le Monde (Fransa), Le Soir (Fransa), PBS Frontline (ABD), Proceso (Meksika), Radio France (Fransa), Süddeutsche Zeitung (Almanya), The Washington Post (ABD), The Wire (Hindistan), OCCRP.