İsrailli şirket NSO’nun casus yazılımı Pegasus’un cihazlara sızmak için daha önceden zararlı bağlantılar kullandığı biliniyordu.
Rus merkezli siber güvenlik şirketi Kaspersky’nin “Global Research and Analysis Team” ekibinin sorumlusu Costin Raiu, sosyal medya hesabından yaptığı paylaşımda, Türkiye’nin Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından casus yazılım Pegasus’un kullandığı zararlı URL’leri engellediğini iddia etti.
İddiaya konu olan zararlı bağlantıları ve USOM’un geçmiş yıllarda engellediği zararlı bağlantıları inceledik.
USOM, UZUN ZAMANDIR ZARARLI BAĞLANTILARI YAYINLIYOR
Türkiye’nin internet altyapısına yönelik siber tehditlerin savuşturulduğu USOM’da uzman ekipler görev yapıyor. Resmi, özel kurum ve kuruluşlarda yer alan siber olaylara müdahale ekipleri ile koordineli çalışılan merkezde, ülke genelindeki internet altyapısına yönelik siber saldırılara karşı önlem alınmaya çalışılıyor.
USOM’da zararlı yazılımlar analiz edilerek Türkiye’deki aktivitelerinin önüne geçiliyor. Son yıllarda hızla artan ‘oltalama saldırıları’nda kullanılan sahte siteler de burada belirlenerek engelleniyor. USOM’da, 16 milyon IP’nin siber saldırı ve zafiyetlere karşı anlık olarak taranıyor.
Bununla birlikte engellediği siteleri resmi sayfasında halka açık şekilde paylaşan USOM, 2019 yılında İsrailli şirket NSO Group’un casus yazılımı Pegasus’un kullandığı zararlı URL’leri engelleyerek bir siber istihbarat başarısına ulaşmıştı.
CITIZEN LAB RAPORLARININ DÜNDEN BUGÜNE GÖSTERDİKLERİ
Bilgi ve iletişim teknolojileri, insan hakları ve küresel güvenlik konularında çalışan Toronto Üniversitesi’ne bağlı The Citizen Lab’in 2020 yılında yayımladığı raporda, Suudi Arabistan ve Birleşik Arap Emirlikleri adına hareket eden “Monarchy ve Sneaky Kestrel” kod adlı iki operatörün NSO Group’a hizmet ettiğini ve birçok gazetecinin hacklenerek dinlendiği ortaya çıkarılmıştı.
Söz konusu raporda USOM’un 2019 yılında tespit ederek engellediği bazı zararlı bağlantılara da yer verilmişti.
Raporda, USOM’un engellediği zararlı bağlantıların, Pegasus saldırılarında kullanıldığının düşünüldüğü belirtilmişti. Söz konusu saldırılar aynı “Monarchy ve Sneaky Kestrel” kod adlı iki operatörün kullandığı düdenler gibi, ulusal düzeyde kullanılan bazı bağlantıların Pegasus casus yazılımına yönlendirilmesine yol açtığı söylenmişti.
2019’DA USOM’UN ENGELLEDİĞİ URL’LER
Citizen Lab raporlarına konu olan USOM’un engellediği zararlı bağlantılar, 5 Kasım 2019 tarihli olup, Citizen Lab araştırmacıları bu zararlı bağlantıları “Monarchy ve Sneaky Kestrel”e atfetmişti.
Bununla birlikte araştırmacılar, “USOM’un Pegasus altyapısı hakkındaki bilgilerinin, Türkiye’deki NSO Group trafiğinin izini sürmek için daha geniş bir çabanın aksine, belirli enfeksiyonları gözlemlemekten kaynaklandığından şüpheleniyoruz” açıklamasını yapmıştı.
Ayrıca araştırmacılar, “5 Kasım 2019’da USOM listesine eklenen IP adreslerinden birinin 28 Ekim 2019’da NSO Group tarafından artık kullanılır durumda olmaması, Türkiye’nin gözlemlediği saldırıların en azından bir kısmının 28 Ekim’den önce gerçekleştiğini gösteriyor. İlginç bir şekilde, regularhours.net ve holdmydoor.com’un Kasım 2019’da bir USOM listesinde görünmesine rağmen, Monarchy ve Sneaky Kestrel’in bu alan adlarını Ağustos 2020’ye kadar saldırılarda kullanmaya devam ettiğini gözlemledik” ifadelerini kullanmıştı.
Konuyla ilgili önemli bir nokta ise İstanbul’da bulunan Suudi konsolosluğunda vahşice katledilen Cemal Kaşıkçı’nın telefonuna cinayetten önce Pegasus bulaştığının ortaya çıkması. Kaşıkçı, 2 Ekim 2018’de öldürülmüştü.
COSTIN RAIU’NUN İDDİALARINA KONU OLAN BAĞLANTILAR
Rus merkezli siber güvenlik şirketi Kaspersky’nin “Global Research and Analysis Team” ekibinin sorumlusu Costin Raiu, sosyal medya hesabından yaptığı paylaşımda, USOM’un casus yazılım Pegasus’un kullandığı zararlı bağlantıları engellediğini söylemişti.
USOM’un Pegasus’la ilişkili olarak engellediği URL’ler arasında, “antipegasusamnesty.com, amnestyvspegasus.com, amnestyinternationalantipegasus.com” bulunuyor.
Söz konusu zararlı bağlantılar incelendiğinde, müşterilerin cihazlarına Pegasus’un bulaşıp bulaşmadığını bulmayı vaat eden internet siteleri olduğu ortaya çıkıyor. Aynı web tasarıma sahip üç site de ziyaretçilerine, cihazlarına casus yazılım Pegasus olup olmadığını öğrenmek amacıyla demo programlarının indirilmesi için çağrı yapıyor. Söz konusu programın “AVPegasus.exe” adlı isme sahip olması dikkat çekici.
Görünüşe göre USOM’un engellediği bu siteler, zararlı yazılım içeren sahte internet siteleri gibi görünüyor. Bununla birlikte üç sitenin de Pegasus’la ilişkisi olup olmadığı bilinmiyor.
ZARARLI BAĞLANTILARLA DEĞİL “ZERO CLİCK” İSTİSMARIYLA SIZIYOR
Uluslararası Af Örgütü ve 15’ten fazla basın kuruluşunun yaptığı bir araştırmanın sonucu, Pegasus’un, dünyanın birçok farklı ülkesinde hükümetler tarafından aralarında gazeteci, akademisyen, siyasetçi ve hak savunucusunun da olduğu bilinen binlerce kişinin telefonuna yüklenmiş olabileceğini ortaya koymuştu.
NSO’nun, Pegasus casus yazılımının yalnızca “terör ve suçları araştırmak” için kullanıldığını ve “hiçbir iz bırakmadığı” iddialarının doğru olmadığını gösteren araştırma, çok gelişmiş bir casus yazılım olan Pegasus’un nasıl bulaştığını da açıklamıştı.
Uluslararası Af Örgütü’nün resmi sitesinde Adli Metodoloji Raporu adıyla yayımlanan çalışma, Pegasus casus yazılımının daha evvel çeşitli kullanıcılara gönderilen zararlı bağlantılarla cihazlara sızdığını ortaya koyarken yazılımın kendini geliştirdiğini ve artık herhangi bir kullanıcı etkileşimi gerektirmeden “Zero Click” istismarlarıyla cihazlara bulaştığını ortaya koymuştu.
NSO’nun perde arkası: WhatsApp’i hackleyen şirket hakkında bilmemiz gerekenler
CASUS YAZILIM PEGASUS NELER YAPABİLİYOR?
NSO Group, Pegasus adıyla bilinen casus yazılımı geliştiren bir teknoloji şirketi. Söz konusu casus yazılım, hedef alınan telefonla yapılan konuşmaları dinleme, basılan tuşları kaydetme, mesajları okuma ve internet geçmişini takip etme olanağı tanıyor.
Ayrıca telefonun kamerası ve mikrofonu üzerinden de takip yapılabiliyor.
Çok geniş bir yelpazede takip yapılmasına olanak tanımasından dolayı İsrail bu yazılımı bir silah olarak sınıflandırıyor. Bu nedenle de şirketin yabancı devletlere satış için Savunma Bakanlığı’ndan onay alması gerekiyor.
NSO GROUP VE CANDIRU KARA LİSTEYE ALINMIŞTI
ABD Ticaret Bakanlığı, NSO Group ve bir başka İsrail şirketi olan Candiru’nun ABD’nin ulusal güvenlik ve dış politika çıkarlarına aykırı hareket ettiğini belirterek söz konusu şirketleri geçtiğimiz günlerde kara listeye almıştı.
Söz konusu kararın, şirketin ürettiği casus yazılımların yabancı devletler tarafından hükümet yetkilileri, gazeteciler, iş insanları, aktivistler, akademisyenler ve elçilik çalışanları aleyhine kullanıldığına dair kanıtlara dayandırıldığı belirtilmişti.
İsrailli firma Candiru’nun casus yazılımı deşifre oldu: Listede Türkiye de var
KAŞIKÇI CİNAYETİNDE KULLANILDIĞI İDDİA EDİLMİŞTİ
Cemal Kaşıkçı cinayetiyle ilgili de İsrailli şirketin ismi geçmişti. İstanbul’daki Suudi Arabistan Başkonsolosluğu’nda 2 Ekim’de öldürülen gazeteci Cemal Kaşıkçı’nın da bir aktivistin telefonuna yüklenen Pegasus yazılımıyla takip edildiği öne sürülmüştü.
Kanada’da yaşayan 27 yaşındaki Suudi vatandaşı Omar Abdulaziz, Suudi Arabistan hükümeti tarafından telefonuna Pegasus yazılımının yüklendiğini ve bunun üzerinden Kaşıkçı ile yaptığı görüşmelerin takip edildiğini öne sürmüştü.
Omar Abdulaziz, Arap Baharı döneminde Suudi Arabistan rejimini eleştiren ve değişim çağrısı yapan video ve sosyal medya yorumlarıyla tanınan muhalif isimlerden biri. Abdulaziz, telefonuna yerleştirildiğini iddia ettiği Pegasus adlı casus yazılımı geliştiren İsrailli NSO Group’a İsrail’de dava açmıştı.
