İngiltere’de Başbakanlık binasında çalışan bir kişinin telefonuna İsrailli NSO şirketinin casus yazılımı Pegasus’un bulaştırıldığı iddia edildi.
The Mirror gazetesinin haberine göre 10 numara olarak da adlandırılan Başbakan Boris Johnson’ın Downing Street üzerinde bulunan ofisinde çalışan bir kişide Pegasus casus yazılımına rastlandığı öne sürüldü.
Haberde casus yazılımı söz konusu cihaza Birleşik Arap Emirlik’lerinden bir tehdit aktörünün yerleştirdiği iddiası yer aldı. Casus yazılımın ilk kez 7 Temmuz 2020 tarihinde kullanılmaya başlandığı belirtiliyor.
Pegasus yazılımını kullananlar, hedeflediği kurbanlarının cep telefonlarındaki aramaları ve mesajları 24 saat boyunca takip edebiliyor.
Daha önce de 2020 ve 2021 yıllarında yaşanan veri güvenliği ihlallerinde, Pegasus yazılımının İngiltere Dışişleri Bakanlığı takip etmek için kullanıldığı ortaya çıkmıştı.
Başbakan Boris Johnson ise 2021’de telefonunu değiştirmek zorunda kalmıştı. Söz konusu olaylarda Birleşik Arap Emirlikleri, Hindistan, Kıbrıs ve Ürdün’de bulunan hackerların adı geçmişti.
‘APT-C-23’ adı ile aranan Hamas destekli bir hacker grubu, savunma, kolluk kuvvetleri ve devlet kurumlarında çalışan İsrailli yetkilileri ağına düşürmeye çalışırken yakalandı.
Saldırı, casus yazılım yerleştirmeden önce hedeflerle uzun vadeli etkileşim kurma ve sahte sosyal medya profilleri oluşturma gibi üst düzey sosyal mühendislik hilelerini içeriyor.
Bu yeni operasyona Bearded Barbie Campaign (Sakallı Barbie Operasyonu) adını veren Cybereason’daki analistlere göre, APT-C-23 ayrıca Windows ve Android cihazlar için yeni özel arka kapılar da dağıtıyor.
Tehdit aktörleri, sahte kimlikler ve çekici kadınların çalınan veya yapay zeka tarafından oluşturulan görüntülerini kullanarak birkaç sahte Facebook profili oluşturdu ve bu profiller aracılığıyla hedeflere yaklaştı. Bu profillerin gerçekmiş gibi görünmelerini sağlamak için operatörler bu profiller üzerinde aylarca çalıştılar, İbranice paylaşımlar yaptılar ve İsrail’deki grupları ve popüler sayfaları beğendiler.
SAMİMİYET OLUŞTUKTAN SONRA SOHBETİ WHATSAPP’A TAŞIMAYI TEKLİF EDİYORLAR
Bu profilleri oluşturanlar, gerçekte İsrail polisinde, savunma kuvvetlerinde, acil servislerde veya hükümette çalışan insanları hedef alan kapsamlı bir arkadaşlık ağı kurmuş oluyor. Bir süre onlarla etkileşime girerek hedefin güvenini kazandıktan sonra, rakipler sohbeti daha iyi gizlilik sağladığı için WhatsApp’a taşımayı öneriyorlar. Sohbet daha da müstehcen bir boyuta taşındığında ise tehdit aktörleri sözde daha da fazla gizlilik sağladığı gerekçesiyle Android IM uygulamasına geçiş yapıyorlar. Bu da VolatileVenom kötü amaçlı yazılımdan başkası değil.
Eş zamanlı olarak, bu sahte profil oluşturucuları, cinsel bir video içerdiği iddia edilen, ancak gerçekte BarbWire arka kapısı için bir indirici olan bir RAR dosyasına bir bağlantı gönderme yolunu seçtiler.
Başta VolatileVenom olmak üzere, sözkonusu Android kötü amaçlı yazılımı kendisini bir mesajlaşma uygulaması olarak gizliyor.
ARKA KAPI NİSAN 2020’DEN BERİ KULLANILIYOR
Cybereason, bu arka kapının en azından Nisan 2020’den bu yana APT-C-23 tarafından kullanıldığını, ancak o zamandan beri ek özelliklerle zenginleştirildiğini açıklıyor.
Ürünün ilk kez çalıştırılması ve kaydolma işlemi sırasında, uygulama sahte bir hata görüntülüyor ve kendisini cihazdan otomatik olarak kaldıracağını bildiriyor. Gerçekte ise, aşağıdaki işlevleri yerine getirerek arka planda çalışmaya devam ediyor:
Sistem tarafından oluşturulan bildirimleri devre dışı bırakma
Kurbanın cihazı Android 10 veya daha üstündeki sürümleri çalıştırıyorsa, uygulama Google Play, Chrome veya Google Haritalara ait bir simge kullanıyor. Android’in önceki sürümlerinde ise, uygulama simgesini tamamen gizliyor.
BARB(IE) VE BARBWIRE KÖTÜ AMAÇLI YAZILIMLARI
Catfish girişimlerinin bir parçası olarak, tehdit aktörleri sonunda hedefe çıplak fotoğraflar veya videolar olduğu iddia edilen bir RAR dosyası göndermekte. Ancak, bu RAR dosyası, BarbWire arka kapısının yüklenmesine neden olan Barb (ie) downloader kötü amaçlı yazılımını içeriyor.
Cybereason tarafından görülen bir Barb (ie) örneği “Windows Bildirimleri” dosya adına sahip ve başlatıldığında bir takım anti analiz denetimleri gerçekleştirmekte.
Ardından, Barb(ie) komut ve denetim sunucularına (C2) bağlanıyor ve bir sistem kimliği profili gönderirken, iki zamanlanmış görev oluşturarak süreklilik tesis ediyor. Son olarak, cihaza BarbWire arka kapısını indiriyor ve yüklüyor.
BarbWire, aşağıdakiler gibi kapsamlı yeteneklere sahip tam teşekküllü bir arka kapı olarak değerlendiriliyor:
Süreklilik
İşletim sistemi keşfi (kullanıcı adı, mimari, Windows sürümü, yüklü AV ürünleri)
Veri şifreleme
Keylogging (başka bir bilgisayarda basılan tuşları gizlice kaydetme işlemi)
Ekran görüntüsü yakalama
Ses kaydı
Ek kötü amaçlı yazılım indirme
Yerel / harici sürücüler ve dizin numaralandırma
Belirli dosya türlerini çalma ve verileri RAR formunda filtreleme
Cybereason, APT-C-23 grubunun aktif gelişimini gösterdiği en az üç farklı BarbWire varyantını örnekleyebildi.
APT-C-23, geçmişte İsrail hedeflerine yönelik birçok operasyonda kullanıldığını gördüğümüz birçok tekniği kullanıyor ancak yeni araçlar ve daha karmaşık sosyal mühendislik çabalarıyla gelişmeye devam ediyor.
Bearded Barbie Operasyonu ile önceki kampanyalar arasındaki farklılıklardan biri, grubun tespit edilmekten kaçınma konusundaki ilgisini ortaya koyan bir altyapının olmaması.
Biri Windows için diğeri Android için olmak üzere iki arka kapının kullanılması, tehdit aktörü için gerilimi daha da artıırmakta ve tehlikeye atılan hedefler için çok agresif casuslukla sonuçlanmakta.
İran destekli ‘Open Hands’ adlı bir hacker grubu, Mossad Başkanı David Barnea’ya ait olduğu iddia edilen 2020 maaş ve vergi belgelerini yayınladı ve sordu: ‘Yeni belgelerinizi karınızın eski telefonuna mı gönderiyorlar?’
İsimsiz bir Telegram kanalı, diğer kişisel bilgileri ve fotoğrafları içeren bir video yayınlamasından birkaç gün sonra Mossad başkanı David Barnea’ya ait olduğu iddia edilen başka belgeler yayınladı.
İbranice yayın yapan bir medya kuruluşu tarafından yayınlanan kaynağı belirtilmeyen haberlere göre, Barnea’nın karısına ait eski bir telefon, İran’la bağlantılı grup tarafından saldırıya uğradı. Haberlere göre telefonda devletin milli güvenliğine zarar verebilecek hassas bir bilgi bulunmuyor.
Cumartesi günü, “Open hands” grubuna ait Telegram kanalı, 2020’den itibaren Barnea’nın ücret ve vergilerine ait bilgilerin yer aldığı belgeleri yayınladı ve söz konusu bilgilerin “yeni” olduğunu iddia etti. Grup ayrıca bir Telegram mesajında şunları sordu:
“Görünüşe göre Mossad’ın maaş bordroları başkanın karısının ‘ESKİ TELEFONUNDA’ bulunabilir! Bay Bernea, YENİ belgelerinizi karınızın eski telefonuna mı gönderiyorlar?? Sızıntının sadece karınızın eski telefonundan kaynaklandığına emin misiniz?”
YILLIK MAAŞ VE VERGİ BİLGİLERİ DE AÇIĞA ÇIKTI
Belgeler, Barnea’nın Başbakanlıktan aldığı yıllık maaş ve vergi bilgilerinin beyan edildiği Form 106’ya işaret ediyor. Başbakanlıktan yeni belgeler hakkında henüz bir açıklama gelmedi.
Çarşamba günü Open Hands, birkaç kişisel fotoğraf, Barnea adına düzenlenmiş bir uçak bileti, kimlik kartı, karısına hitaben düzenlenmiş vergi belgeleri ve Hod Hasharon’un merkezindeki özel evi olduğunu iddia ettiği yerin uydu görüntülerini gösteren bir video yayınladı.
Görünüşe göre özel bir görüntülü sohbet sırasında Barnea’nın mimik hareketleri yaptığı bir klip de videoda görülüyor.
Başbakanlık Ofisi, çarşamba günü Mossad adına yaptığı açıklamada, Barnea’nın telefonunun hacklenmediğini ve daha fazla ayrıntıya girmeden “söz konusu materyallerin eski olduğunu” belirtti.
Open Hands bilgilerin kaynağını açıklamadı ancak bir takım İbranice medya organlarında çıkan haberler İran’a işaret ediyordu. İran İslam Devrim Muhafızları Birliği ile bağlantılı bir web sitesi olan Nour News de sızıntının ayrıntılarını yayınladı.
İRANLI HACKERLARIN KİŞİSEL BİLGİLERİ YAYINLAMASI İLK DEĞİL
İran’la bağlantılı bir hacker grubu olan Black Shadow, geçen yıl bir İsrail hosting şirketini hedef aldı, bir dizi web sitesini geçici olarak kapattı ve İsrailli bir LGBT arkadaşlık sitesi olan “Atraf” dan kullanıcı verilerini çaldı. Daha sonra bir takım veriler yayınladı.
Black Shadow ayrıca 2020’de İsrailli sigorta şirketi Shirbit’ten büyük miktarda bilgi çalmış ve firma fidye ödemeyi reddettiğinde karanlık web’de satmıştı.
Pazartesi akşamı, İsrail hükümetine ait web siteleri, basında çıkan haberlerle İran’a da bağlı olduğu iddia edilen büyük bir siber saldırı nedeniyle bir saatten fazla bir süre boyunca erişime kapatıldı. İsrailli yetkililer daha önce İran’ı 2020’de İsrail’in su sistemini hacklemeye çalışmakla suçlamıştı.
Filistin’i gözetlemeye olanak tanıyan Google-İsrail projesine karşı çıkan Google çalışanına işten çıkması yönünde baskı yapıldığı ortaya çıktı.
Son yıllarda iş uygulamaları ve iş yeri koşulları nedeniyle giderek artan Google ve çalışanlar arasındaki tartışmalar, yaşanan son gelişmeyle birlikte yeniden gündeme geldi.
Google’ın Yahudi bir çalışanı, İsrail ordusuyla yapılması planlanan Nimbus projesini eleştirmesi nedeniyle mobbinge uğradığını belirtti. Bunun üzerine 500’ü aşkın çalışan meslektaşlarının arkasında olduğunu belirttiği bir mektup kaleme aldı.
İSRAİL FİLİSTİN’İ DAHA ÇOK GÖZETLEYEBİLECEK
Son yıllarda taciz, iş uygulamaları ve iş yeri koşulları nedeniyle Google ve çalışanlar arasında geçen tartışmalar, Yahudi bir çalışanın, Google ve Amazon Web Service’in İsrail ordusuyla yapılması planlanan 1,2 milyar dolarlık “Project Nimbus” adlı bulut teknolojisi anlaşmasını eleştirmesi nedeniyle yeniden alevlendi.
Uzun süreli bir proje olan Nimbus Projesi, İsrail için veri merkezleri kurmak, hükümete ve orduya bulut hizmetleri için altyapı sağlamak gibi amaçları içeriyor.
Proje, İsrail’in Gazze’ye saldırıp yaklaşık 250 kişinin ölümüne açtığı hafta gündeme gelmiş ve yüzlerce Google çalışanı bir mektup yayımlayarak Google’ı Filistin’le dayanışmaya, İsrail ordusuyla bağları kesmeye çağırmıştı. Twitter’da DropNimbus hesabını açan çalışanlar ayrıca bu projenin İsrail’in mevzilerini genişleteceğini ve Filistin’in daha kolay gözetlenebilir hâle getireceğini vurgulamıştı.
Nimbus Projesi’ni eleştiren ve 6 yıldır Education for Google biriminde Latin Amerika’dan sorumlu olan Ariel Koren ise bundan dolayı kendi yöneticisinin mobbingine maruz kaldığını iddia etti.
“YA BREZİLYA’YA GİT YA DA POZİSYONUNU KAYBET”
Koren, yöneticisiyle normal bir şekilde yapacakları rutin bir toplantıya gireceğini düşünerek katıldığı görüşmeye yöneticisinin “Ya Brezilya’ya gidersin ya da pozisyonunu kaybedersin.” dediğini kaydetti.
Kendisine Brezilya’ya gitmek için 17 iş günü olduğu belirtilen Koren, “Çok tuhaf ve gaddardı” ifadelerini kullandı.
Bunun üzerine Koren, Google’a kendisine misilleme yapıldığını belirten bir şikâyet mektubu kaleme alsa da Google, herhangi bir misilleme olmadığına kanaat getirdi.
GOOGLE ÇALIŞANLARINDAN KOREN’E DESTEK
Koren’e destek veren 500’ü aşkın Google çalışanı, kamuoyuna yönelik imza toplayarak yayımladıkları mektupta, “Çalışanlar, özellikle insan haklarını ihlal eden etik olmayan sözleşmeler üzerinde çalışırken işlerini kaybetme korkusu olmadan emeklerinin nasıl kullanıldığı hakkında konuşma hakkına sahiptir.” ifadelerine yer verdi.
Hâlihazırda San Francisco’da yaşayan Koren, Nimbus Projesi’ni eleştirmeden önce böyle bir şeyin başına gelmediğini eleştirdikten sonra da okların kendisine döndüğünü anlattı. Çalışanların mektubuyla ilişkiliyse Koren, “Google’ın İsrail ordusu ve hükûmetiyle yaptığı sözleşmenin, Google çalışanları tarafından yaratılması beklenen teknolojiyle Filistinlilere doğrudan zarar vereceği açık, bu nedenle de çalışanlar Google’ı bu sözleşmeyi iptal etmeye çağırıyorlar.” ifadelerini kullandı.
GOOGLE VE ÇALIŞANLAR ARASINDAKİ ÇATIŞMA BÜYÜYOR
Google’da geçtiğimiz senelerden beri çeşitli tartışmalar sürüyor ve çalışanlar hak taleplerini çeşitli platformlarda dile getiriyorlar. Daha önce bir müdürün kadın çalışanı taciziyle başlayan tartışmalar, hakkında cinsel taciz iddiaları bulunan başka bir yöneticiyle devam etmiş, Google’sa bu yöneticiye sadece para cezası vermişti. Google’ın bu tutumunu eleştiren çalışanlarsa kendilerine sendika kurup Google içinde hak arama mücadelesi başlatmıştı.
Etik olmayan çalışan sözleşmeleriyle devam eden süreçten sonra Nimbus Projesi’ne karşı çıkılan mektupla beraber Google’da tartışmalar yeniden alevlenmiş ve çalışanlar Google’ın tutumunu oldukça yanlış bulmuştu.
İsrailli şirket NSO’nun casus yazılımı Pegasus’un ABD tarafından satın alındığı iddiası doğrulandı.
İlk olarak New York Times gazetesinin ortaya attığı 2019 yılında Trump yönetimi altında FBI tarafından Pegasus casus yazılımının alındığı iddiası, FBI’ın Pegasus hakkındaki açıklamaları sonrası doğrulanmış oldu.
FBI, Guardian gazetesine yaptığı açıklamada Pegasus casus yazılımının edinildiğini doğrulayarak “gelişmekte olan teknolojilerden ve ticari araçlardan haberdar olmak için” casus yazılımın satın alındığını öne sürdü.
Kurum, Pegasus’u satın almalarının ‘yalnızca ürün test etme ve değerlendirme’ amacıyla ve Pegasus’un ‘yanlış eller’e düşmesi durumunda neler olabileceğini değerlendirmekle ilgili olduğunu öne sürdü.
FBI, ‘sınırlı bir lisans’ ile satın aldığını açıkladığı Pegasus casus yazılımını herhangi bir soruşturmada kullanmadığını açıkladı. Açıklamada “Herhangi bir soruşturmayı yürütmek için Pegasus kullanılmadı. FBI, yalnızca ürün testi ve değerlendirmesi için sınırlı bir lisans aldı.” ifadelerine yer verildi.
PEGASUS’U KULLANMADILAR AMA 9 MİLYON DOLAR ÖDEDİLER
Bununla birlikte isminin açıklanmaması koşuluyla Guardian’a konuşan ve FBI anlaşması hakkında yakın bilgisi olan bir kişi, anlaşmanın, ABDli yetkililer ile NSO arasındaki “uzun bir müzakere sürecinden” sonra gerçekleştiğini iddia etti.
NSO’nun yazılımı üzerinde ne kadar kontrolü elinde tutacağına odaklanan bir anlaşmazlık yaşandığını, FBI’ın NSO’nun kendi mühendislerinin teknolojiyi kurmasını ve casus yazılımı kendi sistemlerine entegre etmek istemediğini iddia etti.
Kaynak, FBI’ın Pegasus’u kullanmadığını iddia ederek. “Hiç kullanmıyorlardı. Açmadılar bile. Ama parasını ödemeye devam ettiler ve yenilemek istediler. Bu bir yıllık bir test projesiydi ve yaklaşık 5 milyon dolara [3.7 milyon sterlin] mâl oldu. Ayrıca 4 milyon dolar daha yenileme parası verdiler.” dedi.
ŞAŞKINLIKLA KARŞILANDI
Söz konusu açıklamayla FBI’ın, dünyanın en gelişmiş casusluk araçlarından biri olan Pegasus’u satın aldığını doğrudan kabul ettiğini gösteriyor.
Yakın zamanda ABD’nin,Pegasus casus yazılımının arkasında olan İsrailli NSO Group’u ticari kara listeye almış, ülkede firmayla ticaret yapılması yasaklanmıştı.
NSO Group ise yaptığı açıklamada bu açıklamadan ötürü ‘dehşete düştüklerini’ belirterek teknolojilerinin ABD ulusal güvenliğini ‘terörizm ve suçlardan uzak tuttuğunu’ vurgulamıştı. Bu sebeple FBI’ın Guardian’a yaptığı açıklama şaşkınlıkla karşılandı.
Bir kez yerleştirildikten sonra Pegasus casus yazılımı kullanıcısı, bir kişinin telefonunun tüm kontrolünü ele geçirebiliyor, mesajlara erişebiliyor, telefon görüşmelerini kesebiliyor ve telefonu uzaktan dinleme cihazı olarak kullanabiliyor.
