ABD’li teknoloji devi Apple, ürünlerine hackerların sızarak saldırı düzenlemesine fırsat veren kritik bir zafiyet için acil önlem aldı.
Firma tüm Mac, iPhone ve iPad’leri etkileyen ve bu cihazların kullanıcı hiçbir linke tıklamadan hacklenmesine olanak sağlayan bir güvenlik açığını kapamak için işletim sistemi güncellemesi yayımladı.
Telefon ve tabletlere iMessage üzerinden gönderilen bir PDF dosyasıyla, kullanıcılar dosyaya tıklamasa bile cihazın ele geçirilebileceği kısa süre önce bağımsız araştırmacılar tarafından ortaya konmuştu.
Toronto Üniversitesi’ndeki Citizen Lab’den araştırmacı Bill Marczak, “Cihazların hiçbir şeye tıklamadan ele geçirilebileceğine dair kanıtlar görmüştük fakat ilk defa bunun bir örneğiyle karşılaştık” değerlendirmesinde bulundu. Zafiyet bilgisayar, tablet ve telefonların yanı sıra Apple Watch’u da etkiliyor.
ZAFİYETİ İSRAİLLİ NSO İSTİSMAR ETMİŞ OLABİLİR
Citizen Lab, bu güvenlik açığının bir Suudi aktivistin telefonunun ele geçirilmesi için kullanıldığını, bunun arkasında İsrail merkezli NSO Group adlı şirketin olduğunu düşündüklerini ifade etti.
Reuters haber ajansına açıklama yapan NSO, saldırının arkasında olduğunu ne yalanladı ne de teyit etti. NSO, “dünya genelinde istihbarat ve kolluk kuvvetlerine, terör ve suçla mücadele için hayat kurtaran teknolojiler satmaya devam edeceklerini” belirtti.
Güvenlik uzmanları bunun çok tehlikeli bir açık olduğunu fakat sıradan kullanıcıların endişe etmesine gerek olmadığını, bu tür saldırıların genellikle hedef alınmış üst düzey kişilere yapıldığını belirtiyor.
Bir blog paylaşımında bu hatayı duyuran Apple, iOS ve iPadOS 14.8 güncellemeleriyle sorunu çözdüğünü duyurdu. Güncelleme Apple cihazlarına indirilebiliyor.
Kendilerine ‘Ali’nin Adaleti’ adını veren siber tehdit aktörleri, İranlı ve yabancı siyasi tutukluların bulunduğu, kötü bir üne sahip olan İran’ın Evin Cezaevi’ne ait bilgisayar sistemlerine sızdı.
Mahkumlara yönelik fiziksel şiddeti gözler önüne seren görüntüleri sızdıran aktörler, “Evet, bu bir siber saldırı. Evin Cezaevi, İbrahim Reisi’nin siyah sarığı ve beyaz sakalında bir lekedir. Siyasi mahkumlar serbest bırakılana kadar sesimizi duyurmaya devam edeceğiz” mesajı bıraktı.
ŞİDDET İÇEREN EYLEMLER VE CEZAEVİ KOŞULLARI PAYLAŞILDI
Evin Cezaevi’nde 2020 ve 2021 yıllarına ait olduğu belirtilen görüntülerde cezaevi gardiyanlarının mahkumlara yönelik şiddet içeren eylemleri ve cezaevinin kötü olduğu görünen fiziki koşulları paylaşıldı.
‘Ali’nin Adaleti’ adlı grubun sızdırdığı görüntülerde, siber saldırıya uğradıklarını fark eden muhafızların yaşadığı panik ve düzeltme çabaları da detaylarıyla birlikte yer aldı.
Sızdırılan görüntüleri birçok basın yayın kuruluşuyla paylaşan aktörler, Evin Cezaevi’nin koşullarını dünya kamuoyunun gözleri önüne sermek istediklerini belirtti. Uluslararası haber ajanslarından Associated Press’e de gönderilen görüntülerde gardiyanların mahkumlara fiziksel şiddet uygulamasının yanında kendi aralarında da fiziksel şiddet olduğu görüntüler dikkati çekti.
Evin’de gazeteciler, sanatçılar, öğrenciler, akademisyenler, muhalifler ve yabancı uyruklu vatandaşların tutulduğu biliniyor.
Associated Press, görüntülerin Evin Cezaevi’ne ait olduğunu teyit ettiklerini belirtirken, Evin’de kalan bazı eski mahkumlar da görüntülerin Evin’e benzediğini teyit etti.
CEZAEVİ İNSAN HAKLARI İHLALLERİ SEBEBİYLE YAPTIRIM LİSTESİNDE YER ALIYOR
Siber tehdit unsurlarının mesaj gönderdiği İbrahim Reisi, geçtiğimiz günlerde İran cumhurbaşkanı seçildi. Reisi, 1980’lerde İran-Irak savaşından sonra Evin ve Gohardasht cezaevlerinde binlerce mahkumu infaz eden “ölüm komisyonu”nda rol oynamıştı.
Evin Cezaevi, cinsel saldırı, fiziksel saldırı, elektrikli infazlar gibi ağır insan hakları ihlalleri nedeniyle 2018’den beri ABD ve Avrupa’nın yaptırım listesinde yer alıyor.
CEZAEVİ WİNDOWS 7 KULLANIYOR OLABİLİR
Tehdit aktörleri, cezaevi sistemlerine nasıl girdiklerini açıklamadı. Ancak İran‘ın, sistemleri güncel tutmayı zorlaştıran çeşitli yaptırımlar nedeniyle genellikle kaçak veya güncel olmayan yazılımlar kullandığı biliniyor.
AP, görüntülerdeki kontrol odasında artık Microsoft tarafından desteklenmeyen Windows 7 kullanılıyor gibi göründüğünü belirtti.
Evin Cezaevi’ne yönelik yapılan siber saldırı, İran’ın ulusal demiryolu sistemine yapılan siber saldırıdan birkaç ay sonra geldi.
Demiryolu saldırısından sonra tehdit aktörleri, tren istasyonlarındaki elektronik panolara daha fazla bilgi edinmek isteyen vatandaşların yazılan numarayı aramaları gerektiğine dair alaycı bir not bırakmıştı. Notta yer alan telefon numarası İran dini lideri Ayetullah Ali Hamaney’in ofisine aitti.
Başlangıçta bu olay İsrail’e atfedilse de daha sonra oklar, rejim karşıtı grup ‘Indra’ya yöneldi. İsrailli siber güvenlik şirketi Checkpoint, demiryolu saldırısının arkasındaki grubun 2019 yılında birçok Suriyeli şirkete sızdığını açıklamıştı. Ancak Evin saldırısının arkasında da aynı grubun olup olmadığı bilinmiyor.
Pekin destekli hackerların İran kaynaklı hareket ettikleri izlenimi vererek İsrail’e siber saldırılar gerçekleştirdiği iddia edildi.
ABD’li siber güvenlik şirketi FireEye’ın İsrail ordusu ile birlikte gerçekleştirdikleri bir araştırmaya göre, UNC215 adlı Çin menşeli olduğundan şüphelenilen bir casus grubu güvenilir üçüncü tarafların kimlik bilgilerini çalmak için Uzak Masaüstü protokolleri (RDP) kullandıktan sonra İsrail hükümetinin ağlarına siber saldırı düzenledi. RDP’ler, bir hacker’ın bir bilgisayara uzaktan bağlanmasını ve uzak aygıtın “masaüstünü” görmesine olanak tanıyor.
Rapora göre, İsrail Savunma Ajansı tarafından paylaşılan bilgilerin yanı sıra FireEye verileri, Ocak 2019’dan başlayarak UNC215’in “İsrail devlet kurumlarına, BT sağlayıcılarına ve telekomünikasyon kuruluşlarına karşı” bir dizi eşzamanlı saldırı gerçekleştirdiğini ortaya koyuyor.
İRANLI KILIĞINA GİREN ÇİNLİ HACKERLAR
FireEye’ın raporu, ABD, Avrupa Birliği ve NATO’nun Çin’i yabancı hükümetlerden dünya çapındaki özel şirketlere kadar çeşitli kuruluşlara yönelik “kötü niyetli bir siber faaliyet modeli oluşturmak” ile suçlayan 19 Temmuz tarihli ortak açıklamasından kısa bir süre sonra geldi.
2019 ve 2020’de, hackerların İsrail hükümetinin ve teknoloji şirketlerinin bilgisayarlarına girdiği iddia edildiğinde, araştırmacılar siber saldırıların sorumlularını bulmak için ipuçları aramaya başladı. İlk kanıtlar doğrudan İsrail’in jeopolitik rakibi İran’a işaret ediyordu. Zira hackerlar genellikle İranlılarla ilişkili araçları kullandılar ve Farsça dilini kullandılar.
Ancak Orta Doğu’daki diğer siber casusluk davalarından elde edilen kanıtların ve bilgilerin ayrıntılı olarak incelenmesinden sonra, araştırmacılar bunun bir İran operasyonu olmadığını fark etti. Kanıtlar saldırıların İranlı hacker kılığına giren Çinli ajanlar tarafından gerçekleştirildiğini öne sürdü.
FireEye’deki tehdit istihbaratından sorumlu Başkan Yardımcısı John Holtquist, VOA’ya yaptığı açıklamada, Fireeye’nin sahip olduğu bir siber güvenlik operasyonu olan Mandiant’ın “bu kampanyayı Çin hükümeti adına faaliyet gösteren Çinli casusluk operatörlerine bağladığını” söyledi.
İRAN KELİMESİNİ İÇEREN DOSYA KONUMU KULLANDILAR
Araştırmaya göre, hackerların kullandığı taktikler arasında “İran” kelimesini içeren bir dosya konumu kullanılması yer alıyor. Aynı zamanda saldırganlar ele geçirilmiş bilgisayarlarda bıraktıkları adli delilleri en aza indirmek ve İsrail bilgisayarlarına girmek için kullandıkları altyapıyı gizlemek suretiyle gerçek kimliklerini saklamak için her türlü çabayı gösterdiler.
Washington’daki Çin Büyükelçiliği sözcüsü Liu Pengyu, Cyberscoop web sitesine verdiği röportajda FireEye’ın kanıt olarak sunduğu bulgulara meydan okudu. Pengyu, “Siber alemin sanal doğası ve izlenmesi zor olan her türlü çevrimiçi aktör olduğu gerçeği göz önüne alındığında, siber saldırılarla ile ilgili olayları araştırırken ve tanımlarken yeterli kanıta sahip olmak önemlidir.” dedi.
Washington merkezli bir Araştırma Enstitüsü olan Orta Doğu Enstitüsü’ndeki (MEI) Siber Program Başkanı Chris Kubecka ise FireEye’ın saldırılardan Pekin destekli hackerların sorumlu olduğu sonucunu çıkarmasının çok aceleci bir yaklaşım olabileceğini öne sürdü ve ekledi: “FireEye saldırıyı bir yere bağlayacak pozisyonda değil. Bu pozisyona ancak uygun bir soruşturmadan sonra hükümetler sahip olabilir.”
ORTADOĞU’YU BÖLME OYUNUNUN BİR PARÇASI
Kubecka, VOA’ya yaptığı açıklamada, Çin hükümetinin siber saldırılardan sorumlu olması durumunda, bunun Orta Doğu’yu altyapı ve ticaret anlaşmaları yoluyla siyasi olarak bölme oyununun parçası olabileceğini söyledi. Çin hükümetinin, geliştirme maliyetlerini düşürerek Çinli işletmelere ve nihayetinde Çin ekonomisine fayda sağlamak amacıyla teknoloji edinme ve kopyalama iştahı gösterdiğini söyledi.
Donald Trump yönetimi sırasında ABD, Çinli şirketleri ve çalışanları Amerikan teknolojisini ve ticari sırlarını çalmakla suçlamıştı. 2019’da Çinli teknoloji devi Huawei, ABD savcıları tarafından T-Mobile’dan ticari sırları çalmakla suçlandı.
BİR KUŞAK BİR YOL PROJESİNİN ZEMİNİNDE GERÇEKLEŞTİ
Washington merkezli Doğu-Batı Merkezi Araştırma Örgütü’nün kıdemli üyesi Denny Roy, VOA’ya bunun Çin’in ulusal kalkınma stratejisinin bir parçası olarak siber hırsızlığa olan bağlılığının bir göstergesi olduğunu söyledi ve şunları ekledi: “Pekin Çin’in dünya açısından ekonomik öneminin onu neredeyse her şeyden kurtulmasına izin verdiğini düşünüyor. Çin ne kadar küresel bir büyük güç olmayı hedefliyorsa, dış politikasında kendisini aynı anda hem İsrail hem de İran’a dost olarak göstermeye çalışmak gibi çelişkili baskılarla o kadar çok karşılaşacaktır.”
FireEye’den Holtquist, bu siber casusluk faaliyetinin Çin’in Bir Kuşak Bir Yol Projesi (Tarihi İpek Yolu’nu canlandırarak Pekin’den Londra’ya kadar kesintisiz bir ticaret yolu oluşturma hedefi) ile ilgili milyarlarca dolarlık yatırımının ve İsrail’in teknoloji sektörüne olan ilgisinin zemininde gerçekleştiğini savundu.
Deniz üzerinde bir İngiliz’in drone saldırısıyla öldürülmesi üzerine Boris Johnson, faili olmakla suçladığı İran’a bu saldırının ‘sonuçları’ olacağı uyarısında bulundu. İngiltere ve müttefikleri siber saldırı ile karşılık vermeyi planlıyor.
İngiltere Başbakanı Boris Johnson, İngiliz bir güvenlik görevlisini ve Romanyalı bir denizcinin ölümüne sebep olan Mercer Street adlı petrol tankerinin vurulmasından İran’ı sorumlu tuttu. Başbakan Johnson, misilleme konusunda Tahran’a karşı müttefikleri konumunda olan ABD ve İsrail ile birlikte çalışmalar yürütüyor. Hükümet kaynakları, Umman açıklarında gerçekleştirildiği bildirilen saldırının ardından misilleme için bir dizi “seçenek” üzerinde çalışıldığını açıkladı.
İngiliz The Sun gazetesine konuşan üst düzey bir savunma kaynağı, misillemenin muhtemelen siber alanda olacağını söylerken, söz konusu saldırı ile “bir İngiliz vatandaşının bu şekilde öldürülemeyeceği” mesajının yerine ulaşacağını belirtti. Benzer bir açıklama yapan bir Dışişleri Bakanlığı yetkilisi ise, “Bir İngiliz vatandaşı öldürüldü ve bizim bazı sınırların aşılmaması gerektiği konusunu netleştirmemiz gerekiyor.” diye konuştu.
Gazeteye bilgi veren önemli bir kaynak, ismi açıklanmayan İngiliz vatandaşının kasıtlı olarak hedef alındığına inanmadıklarını söyledi. İran’ın İngiltere büyükelçisi gereken tepkiyi iletmek üzere Dışişleri Bakanlığı’na çağırıldı. Alınan bilgilere göre İranlı büyükelçinin cevabı Londra tarafından tatmin edici bulunmadı.
“ORANTILI BİR CEVAP GEREKİYOR”
İran’ın saldırısı İngiliz siyasetçilerin peş peşe açıklamalarına sebep oldu. İngiltere’nin Ortadoğu’dan Sorumlu Devlet Bakanı James Cleverly, İranlı diplomata Tahran’ın “uluslararası barış ve güvenliği riske atan eylemleri derhal durdurması” gerektiğini söyledi. İran’ın “yaptıklarının sonuçlarıyla yüzleşmesi” gerektiği açıklamasını yapan Başbakan Johnson ise Tahran’ı “seyrüsefer özgürlüklerine saygı göstermeye” çağırdı.
Diğer yandan, Batı dünyasının İran’ın Ortadoğu’daki girişimlerinin kontrol altına alınması için gerekeni uzun zamandır yapmadığı yorumunu yapan Parlamento Savunma Komitesi Başkanı Tobias Ellwood, saldırının “orantılı bir cevap gerektirdiği” ifadesini kullandı.
Her casus kendini zaman zaman James Bond olarak hayal eder. Ancak İsrailli Shalev Hulio’nun 007 takıntısı, casus olmasından kaynaklanmıyordu.
Nitekim tombul, patavatsız biri olarak bilinen bu adam, hiçbir zaman casus olmadı. Olsa olsa kendini büyük sırların ve paranın kesiştiği yerde bulan İsrailli bir teknoloji hastasıydı. Belki de bu yüzden, birkaç yıl önce, James Bond filmlerinde kurgusal bir karakter olan Q’dan (Quartermaster) esinlenerek Q Suite adı altında siber silah Pegasus’u satmaya başladı.
Ancak Hulio’nun on yıl önce kurduğu İsrail askeri casus yazılım üreticisi NSO Group, Q’nun işlerini yürüttüğü basit atölyenin çok ötesinde bir yapı haline geldi. Kadrosunda İsrail’in seçkin askeri istihbarat birimlerinin baş döndürücü derecede iyi para kazanan eski çalışanlarının olduğu NSO, herhangi bir telefona uzaktan girebilecek, telefonun tüm şifreli uygulamalarını delebilecek ve kamerasını ve mikrofonunu açabilecek kadar güçlü bir yazılım parçası olan Pegasus’un yaratıcısı olarak tanınıyor.
İSRAİL DEVLETİ TARAFINDAN KORUNUYOR
NSO’nun müşterileri, çoğunlukla gerçek dünya casusları ve çok gizli. Yazılım için her türlü ihracat iznini onaylayan ve Pegasus’u yalnızca ülkenin mevcut ya da potansiyel müttefiklerine satılacak bir silah olarak gören İsrail Savunma Bakanlığı tarafından korunuyor. Ancak zaman zaman, NSO’nun genellikle paravan şirketlerin ve gizlilik anlaşmalarının katmanlarının arkasına gizlenmiş olan kendi sırları da açığa çıkabiliyor.
Geçtiğimiz hafta 17 basın kuruluşu, Uluslararası Af Örgütü ile birlikte Pegasus yazılımı üzerinden telefonları takip edildiği ortaya çıkan 50 bin kişilik bir listeyi inceleme altına aldı. Listede çoğu baskıcı rejimlere muhalif olan prensesler, devlet başkanları, krallar ve sarayları ile gazeteciler ve siyasi muhalifler yer alıyordu. Söz konusu liste ile NSO Group’un yazılımlarını otoriter rejimlere satmadığına ilişkin yıllardır ileri sürdüğü tez de çürütülmüş oldu.
Silikon Vadisi tarzı bir büyüme hikayesine sahip diğer İsrailli girişimciler gibi, Hulio da NSO’nun İsrail’in merkezindeki bir kibbutz’daki bir tavuk kümesinde kariyerine nasıl başladığı hakkında konuşmayı seviyor. İyi eğitimli korumalar tarafından gözetilen bu kişi, şimdilerde ise yakın zamanda patlak veren skandalı temizlemeye çalışıyor.
PEGASUS KÖTÜ ADAMLARI AVLIYOR EFSANESİ BALON MU?
Hulio yıllardır kötü adamların, pedofillerin, teröristlerin ve uyuşturucu baronlarının yakalanmamak için şifreli uygulamalar kullandığını NSO’nun ise Pegasus’u dikkatli bir incelemeden sonra sadece iyi adamlara ve sadece kötü adamları durdurabilmeleri için sattığını ileri sürüyordu.
Hulio’nun avukatları söz konusu iddialara cevaben “NSO, her zaman olduğu gibi teknolojilerinin kötüye kullanıldığına dair güvenilir kanıtları iyice araştıracak ve gerekirse sistemi kapatacaktır. NSO, bu kısır iftira kampanyasına alet olmayacak.” ifadelerini kullandı.
Hulio’yu uzun süredir tanıyanlar, NSO’nun şimdiye kadar hayatta kalmasının sadece teknik nedenlerle dahi olsa şaşırtıcı olduğunu düşünüyor. Onu liseden beri tanıyan ve adını vermek istemeyen bir kişi, Apple gibi telefon üreticilerinin sonunda onu piyasadan silmenin bir yolunu bulacağını söylüyor. Aynı kişi bu durumu kedi-fare oyununa benzetiyor ve ekliyor: “Her yeni işletim sistemi yeni bir özellik ekliyor ve bir güvenlik açığını kapatsa bile, bir diğeri bulunuyor.”
Yazılımın hayatta kalması, Hulio’yu epeyce zenginleştirdi — şirket yaklaşık 1,5 milyar dolar değerinde ve onda biri Hulio’ya ait.
SUUDİ ARABİSTAN, BAE VE FAS’A YAZILIM SATIYOR
Şirketin kurucu ortaklardan biri yıllar önce ayrılırken bir diğeri olan Omri Lavie ise 2013’te Financial Times’a yaptığı açıklamda NSO müşterileri hakkında konuşmak istemediğini, çünkü başının kesilmesini istemediği söyleyerek espri yapmıştı. NSO’ya aşina olan insanlar, şirketin Suudi Arabistan, Azerbaycan, Fas ve BAE ile iş yaptığını söylüyor.
Afrika’da bir satış yapmak için kullanıldıktan sonra kendisine hiç ödeme yapmadığını söyleyen bir aracı, şimdilerde resmi olarak NSO ile iş yapmadığından içinin rahat olduğunu söylüyor ve devam ediyor: “Bu teknoloji, iki terörist ya da iki suçluyu yakalamak için kullanılmış olsa da bu şey siyasi amaçlar için tasarlandı.”
HER ZAMAN BİR KAÇIŞ PLANIN OLMALI
Neticede bu Hulio’nun ikilemi olarak öne çıkıyor. Suçluları ve teröristleri yakalamak için tasarlandığı söylenen bir teknoloji devinin başarı hikayesi balonu çeşitli gazeteler, bağımsız bir BM İfade Özgürlüğü Raportörü ve şimdi de bu son konsorsiyum tarafından söndürülmüş oldu.
Dünyayı NSO’nun iyi adamlardan biri olduğuna ikna etmek için Hulio, arkasında büyüyen sır perdesini kaldırmak zorunda kalacak ve aynı zamanda Apple’dan Facebook’a kadar onu kapatmak isteyen teknoloji devleriyle savaşacak.
Q’nun Bond’a verdiği ilk direktifinde (Asla yaralandığını görmelerine izin verme!) şimdiden başarısız olan şirketin geleceği, Hulio’nun direktiflerden ikincisini ne kadar iyi uyguladığına bağlı olacak gibi görünüyor: Her zaman bir kaçış planın olmalı.
