Kaspersky Siber Güvenlik Firması Küresel Araştırma ve Analiz Ekibi Sorumlusu Costin G. Raiu, geçtiğimiz hafta bir tweet atarak Ulusal Siber Olaylara Müdahale Merkezi’nin (USOM) casus yazılım Pegasus ile ilişkili URL’leri henüz kamuoyuna bildirilmeden tespit edip blokladığını duyurdu.
Konuyla ilgili Siber Bülten’e özel bir röportaj veren Raiu, İsrailli NSO firmasının geliştirdiği Pegasus casus yazılımını engellemede Türkiye’nin USOM’un hamlesiyle diğer ülkelerin önüne geçtiğini söyledi.
“Böyle zararlı bağlantıları ve saldırı alt yapılarını ulusal düzeyde engellemek, herkesin korunması adına dikkate değer bir savunma etkisi oluşturur. Açıkçası USOM, Pegasus saldırılarının savuşturulması noktasında diğer ülkelerin önünde yer alıyor.” ifadelerini kullanan yetkili bu tür IOC’lerin (Indicators of compromise) ortaya çıkartılmasının nasıl bir etki gösterdiğinin ancak orta vadede anlaşılabileceğini kaydetti.
Pegasus casus yazılımı, cep telefonlarını etkili bir şekilde taşınabilir casus cihazlarına dönüştürüyor. Müşterilerinin, hedeflenen bir kişinin akıllı telefonunun kontrolünü ele geçirmesine ve telefonun sahibinin onayı olmadan kameralar ile mikrofonları açmasına imkan tanıyor. Yazılım ayrıca telefonda depolanan fotoğraflara, konum verilerine ve diğer önemli kişisel verilere erişim sağlıyor.
NSO firmasının geliştirdiği casus yazılım dünyanın birçok ülkesine satılmıştı. Yazılımın 2018 yılında Suudi Arabistan’ın İstanbul başkonsolosluğunda katledilen Cemal Kaşıkçı’nın telefonuna da bulaştırıldığı tespit edilmişti. Geçtiğimiz yaz ise dünyanın değişik ülkelerinde cihazlarına Pegasus bulaştırılarak takip edilen onlarca gazeteci, aktivist ve rejim muhalifinin olduğu ortaya çıkmıştı. Listede Türkiye’den isimler de bulunuyordu.
İsrailli şirket NSO’nun casus yazılımı Pegasus’un cihazlara sızmak için daha önceden zararlı bağlantılar kullandığı biliniyordu.
Rus merkezli siber güvenlik şirketi Kaspersky’nin “Global Research and Analysis Team” ekibinin sorumlusu Costin Raiu, sosyal medya hesabından yaptığı paylaşımda, Türkiye’nin Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından casus yazılım Pegasus’un kullandığı zararlı URL’leri engellediğini iddia etti.
İddiaya konu olan zararlı bağlantıları ve USOM’un geçmiş yıllarda engellediği zararlı bağlantıları inceledik.
USOM, UZUN ZAMANDIR ZARARLI BAĞLANTILARI YAYINLIYOR
Türkiye’nin internet altyapısına yönelik siber tehditlerin savuşturulduğu USOM’da uzman ekipler görev yapıyor. Resmi, özel kurum ve kuruluşlarda yer alan siber olaylara müdahale ekipleri ile koordineli çalışılan merkezde, ülke genelindeki internet altyapısına yönelik siber saldırılara karşı önlem alınmaya çalışılıyor.
USOM’da zararlı yazılımlar analiz edilerek Türkiye’deki aktivitelerinin önüne geçiliyor. Son yıllarda hızla artan ‘oltalama saldırıları’nda kullanılan sahte siteler de burada belirlenerek engelleniyor.USOM’da, 16 milyon IP’nin siber saldırı ve zafiyetlere karşı anlık olarak taranıyor.
Bununla birlikte engellediği siteleri resmi sayfasında halka açık şekilde paylaşan USOM, 2019 yılında İsrailli şirket NSO Group’un casus yazılımı Pegasus’un kullandığı zararlı URL’leri engelleyerek bir siber istihbarat başarısına ulaşmıştı.
CITIZEN LAB RAPORLARININ DÜNDEN BUGÜNE GÖSTERDİKLERİ
Bilgi ve iletişim teknolojileri, insan hakları ve küresel güvenlik konularında çalışan Toronto Üniversitesi’ne bağlı The Citizen Lab’in 2020 yılında yayımladığı raporda, Suudi Arabistan ve Birleşik Arap Emirlikleri adına hareket eden “Monarchy ve Sneaky Kestrel” kod adlı iki operatörün NSO Group’a hizmet ettiğini ve birçok gazetecinin hacklenerek dinlendiği ortaya çıkarılmıştı.
Söz konusu raporda USOM’un 2019 yılında tespit ederek engellediği bazı zararlı bağlantılara da yer verilmişti.
Raporda, USOM’un engellediği zararlı bağlantıların, Pegasus saldırılarında kullanıldığının düşünüldüğü belirtilmişti. Söz konusu saldırılar aynı “Monarchy ve Sneaky Kestrel” kod adlı iki operatörün kullandığı düdenler gibi, ulusal düzeyde kullanılan bazı bağlantıların Pegasus casus yazılımına yönlendirilmesine yol açtığı söylenmişti.
2019’DA USOM’UN ENGELLEDİĞİ URL’LER
Citizen Lab raporlarına konu olan USOM’un engellediği zararlı bağlantılar, 5 Kasım 2019 tarihli olup, Citizen Lab araştırmacıları bu zararlı bağlantıları “Monarchy ve Sneaky Kestrel”e atfetmişti.
Bununla birlikte araştırmacılar, “USOM’un Pegasus altyapısı hakkındaki bilgilerinin, Türkiye’deki NSO Group trafiğinin izini sürmek için daha geniş bir çabanın aksine, belirli enfeksiyonları gözlemlemekten kaynaklandığından şüpheleniyoruz” açıklamasını yapmıştı.
Ayrıca araştırmacılar, “5 Kasım 2019’da USOM listesine eklenen IP adreslerinden birinin 28 Ekim 2019’da NSO Group tarafından artık kullanılır durumda olmaması, Türkiye’nin gözlemlediği saldırıların en azından bir kısmının 28 Ekim’den önce gerçekleştiğini gösteriyor. İlginç bir şekilde, regularhours.net ve holdmydoor.com’un Kasım 2019’da bir USOM listesinde görünmesine rağmen, Monarchy ve Sneaky Kestrel’in bu alan adlarını Ağustos 2020’ye kadar saldırılarda kullanmaya devam ettiğini gözlemledik” ifadelerini kullanmıştı.
Konuyla ilgili önemli bir nokta ise İstanbul’da bulunan Suudi konsolosluğunda vahşice katledilen Cemal Kaşıkçı’nın telefonuna cinayetten önce Pegasus bulaştığının ortaya çıkması. Kaşıkçı, 2 Ekim 2018’de öldürülmüştü.
COSTIN RAIU’NUN İDDİALARINA KONU OLAN BAĞLANTILAR
Rus merkezli siber güvenlik şirketi Kaspersky’nin “Global Research and Analysis Team” ekibinin sorumlusu Costin Raiu, sosyal medya hesabından yaptığı paylaşımda, USOM’un casus yazılım Pegasus’un kullandığı zararlı bağlantıları engellediğini söylemişti.
USOM’un Pegasus’la ilişkili olarak engellediği URL’ler arasında, “antipegasusamnesty.com, amnestyvspegasus.com, amnestyinternationalantipegasus.com” bulunuyor.
Söz konusu zararlı bağlantılar incelendiğinde, müşterilerin cihazlarına Pegasus’un bulaşıp bulaşmadığını bulmayı vaat eden internet siteleri olduğu ortaya çıkıyor. Aynı web tasarıma sahip üç site de ziyaretçilerine, cihazlarına casus yazılım Pegasus olup olmadığını öğrenmek amacıyla demo programlarının indirilmesi için çağrı yapıyor. Söz konusu programın “AVPegasus.exe” adlı isme sahip olması dikkat çekici.
Görünüşe göre USOM’un engellediği bu siteler, zararlı yazılım içeren sahte internet siteleri gibi görünüyor. Bununla birlikte üç sitenin de Pegasus’la ilişkisi olup olmadığı bilinmiyor.
Uluslararası Af Örgütü ve 15’ten fazla basın kuruluşunun yaptığı bir araştırmanın sonucu, Pegasus’un, dünyanın birçok farklı ülkesinde hükümetler tarafından aralarında gazeteci, akademisyen, siyasetçi ve hak savunucusunun da olduğu bilinen binlerce kişinin telefonuna yüklenmiş olabileceğini ortaya koymuştu.
NSO’nun, Pegasus casus yazılımının yalnızca “terör ve suçları araştırmak” için kullanıldığını ve “hiçbir iz bırakmadığı” iddialarının doğru olmadığını gösteren araştırma, çok gelişmiş bir casus yazılım olan Pegasus’un nasıl bulaştığını da açıklamıştı.
Uluslararası Af Örgütü’nün resmi sitesinde Adli Metodoloji Raporu adıyla yayımlanan çalışma, Pegasus casus yazılımının daha evvel çeşitli kullanıcılara gönderilen zararlı bağlantılarla cihazlara sızdığını ortaya koyarken yazılımın kendini geliştirdiğini ve artık herhangi bir kullanıcı etkileşimi gerektirmeden “Zero Click” istismarlarıyla cihazlara bulaştığını ortaya koymuştu.
NSO Group, Pegasus adıyla bilinen casus yazılımı geliştiren bir teknoloji şirketi. Söz konusu casus yazılım, hedef alınan telefonla yapılan konuşmaları dinleme, basılan tuşları kaydetme, mesajları okuma ve internet geçmişini takip etme olanağı tanıyor.
Ayrıca telefonun kamerası ve mikrofonu üzerinden de takip yapılabiliyor.
Çok geniş bir yelpazede takip yapılmasına olanak tanımasından dolayı İsrail bu yazılımı bir silah olarak sınıflandırıyor. Bu nedenle de şirketin yabancı devletlere satış için Savunma Bakanlığı’ndan onay alması gerekiyor.
NSO GROUP VE CANDIRU KARA LİSTEYE ALINMIŞTI
ABD Ticaret Bakanlığı, NSO Group ve bir başka İsrail şirketi olan Candiru’nun ABD’nin ulusal güvenlik ve dış politika çıkarlarına aykırı hareket ettiğini belirterek söz konusu şirketleri geçtiğimiz günlerde kara listeye almıştı.
Söz konusu kararın, şirketin ürettiği casus yazılımların yabancı devletler tarafından hükümet yetkilileri, gazeteciler, iş insanları, aktivistler, akademisyenler ve elçilik çalışanları aleyhine kullanıldığına dair kanıtlara dayandırıldığı belirtilmişti.
Cemal Kaşıkçı cinayetiyle ilgili de İsrailli şirketin ismi geçmişti. İstanbul’daki Suudi Arabistan Başkonsolosluğu’nda 2 Ekim’de öldürülen gazeteci Cemal Kaşıkçı’nın da bir aktivistin telefonuna yüklenen Pegasus yazılımıyla takip edildiği öne sürülmüştü.
Kanada’da yaşayan 27 yaşındaki Suudi vatandaşı Omar Abdulaziz, Suudi Arabistan hükümeti tarafından telefonuna Pegasus yazılımının yüklendiğini ve bunun üzerinden Kaşıkçı ile yaptığı görüşmelerin takip edildiğini öne sürmüştü.
Omar Abdulaziz, Arap Baharı döneminde Suudi Arabistan rejimini eleştiren ve değişim çağrısı yapan video ve sosyal medya yorumlarıyla tanınan muhalif isimlerden biri. Abdulaziz, telefonuna yerleştirildiğini iddia ettiği Pegasus adlı casus yazılımı geliştiren İsrailli NSO Group’a İsrail’de dava açmıştı.
Siber güvenlik tatbikatları, siber alanda meydana gelebilecek olası farklı senaryolarda nasıl hareket edilmesi gerektiği konusunda gerekli ortamın oluşturulması açısından bakıldığında önemli bir araç olarak ülkelerin gündeminde yer alıyor.
Tatbikatlar siber alanda alınabilecek önlemler açısından gerek karar vericilere gerekse de bu alan için geliştirilebilecek araçlar, teknikler ve prosedürler için siber savunma ile görevli veya ilgili kurum, kuruluş, ve personele de fikirler verebiliyor.
Türkiye’de de bir süredir farklı katılımcılarla sürdürülen siber güvenlik tatbikatlarılarının 2021 yılı ayağı, “Siber Kalkan 2021 Tatbikatı” adıyla Bilgi Teknolojileri ve İletişim Kurumu’nda (BTK) gerçekleştirildi. Tatbikatta 36 kurum ve kuruluştan siber güvenlik takımları ve 135 uzman, bilgi ve yeteneklerini sınama imkanı buldu.
İki gün süren Siber Kalkan 2021 Tatbikatı’nın kapanış programında konuşan BTK Başkanı Ömer Abdullah Karagözoğlu, tatbikatın kurumlar açısından önemine dikkati çekti.
Tatbikatın en yaygın gözlemlenen ve gerçekçi tehditleri içeren farklı senaryolardan oluşmasının önemli olduğunu hatırlatan Karagözoğlu, katılımcı ekipler arasındaki iletişimin artırılmasının gerekliliğine işaret etti. Karagözoğlu, “Katılımcılar; web ve ağ güvenliği, kötü amaçlı yazılım analizi, işletim sistemi ve yönetimi, güvenli yazılım geliştirme, SCADA protokolleri konularında en yaygın gözlemlenen ve gerçekçi siber güvenlik tehditlerini içeren farklı senaryolarla karşılaşmışlardır.” ifadelerini kullandı.
“SOME” OLUŞUMUNA DİKKAT ÇEKİLDİ
Siber Kalkan 2021 Tatbikatı’nın açılış konuşmasını yapan Ulaştırma ve Altyapı Bakan Yardımcısı Ömer Fatih Sayan, BTK bünyesinde kurulan USOM’un 2013’ten bu yana faaliyetlerini sürdürdüğünü dile getirirken, ulusal siber güvenliğin güçlendirilmesi bağlamında, USOM koordinasyonunda, “enerji, sağlık, bankacılık, finans, ulaşım, elektronik haberleşme, su yönetimi” gibi kritik sektörlerde faaliyet gösterecek şekilde Siber Olaylara Müdahale ekiplerini (SOME) oluşturduklarını ifade etmişti.
BTK Başkanı Karagözoğlu, Siber Kalkan 2021 Tatbikatı’nın kapanış programındaki konuşmasında , Ömer Fatih Sayan’la aynı noktaya değinerek, “Hedefimiz tüm SOME’lerimizi belirli bir olgunluk seviyesine ulaştırmak ve ortak bir standart sağlamaktır.” açıklamasında bulundu.
ÇEŞİTLİ ÜLKELERDEN VEYA ÖZEL SEKTÖRDEN KATILIMCI YOK
Toplamda 36 kamu kurum ve kuruluşunun siber güvenlik takımları ve 135 uzmanın katıldığı tatbikatta, geçen yıl gözlemlenen çeşitli ülkelerden veya özel sektörden katılımcıların bulunmaması dikkati çekti.
Uluslararası organizasyonların ve özel sektörün siber tatbikatlara katılması, dünyadaki siber güvenlik paylaşımının artması ve ülke özelinde gerçekleşebilecek çeşitli senaryolara karşı ortak hareket etme kabiliyetinin kazanılması tatbikatlara artı değer katıyor.
Bilgi Teknolojileri ve İletişim Kurumu, siber alanda gerçekleşen veri ihlallerini takip ederek, internet kullanıcılarına verilerini kontrol etmek imkanı veren Have I been Pwned sitesi ile işbirliği gerçekleştirdi.
Sitenin kurucusu Troy Hunt tarafından yapılan açıklamada, Türkiye’nin site ile işbirliği kuran 26. hükümet olduğu belirtildi.
Yüksek ve düşük profilli veri ihlallerini izleyen ve bunları listeleyen bir web sitesi olan “Have I Pwned?”in veri tabanında internet kullanıcıları e-posta adresi veya telefon numarası vasıtasıyla arama yapılabiliyor. Site hükümetin yetkili kurumlarına daha geniş tarama yetkileri veriyor. Açıklamada da sitenin ücretsiz API ile BTK’nın ele geçirilmiş verileri arasında geniş sorgu yapabileceği ifade edildi.
BTK’ya ait verilerin bir hacker forumunda satışa çıkarılmasından kısa bir süre sonra işbirliğinin açıklanması dikkat çekti.
Giyim firması Collezione markasının, bir hacker platformunda yayımlanan 31 Ocak 2021 tarihli gönderiyle kullanıcı verilerinin satışa çıkarıldığı ortaya çıktı.
Collezione markasının internet sitesine üye olan kullanıcıların verilerinin sızdırıldığı iddia edilen gönderide, 200 binden fazla kişinin verilerinin yer aldığı belirtiliyor. Ayrıca gönderide, verilerin gerçek olduğuna yönelik kanıt olarak sunulan bir ekran görüntüsü de yer alıyor.
Sızdırılan veriler arasında, kullanıcı adı-soyadı, e-posta adresi, hashlenmiş parolası, doğum tarihi, ev ve cep numarası, adresi, TC kimlik numarası yer alıyor.
VERİLERİ TEYİT ETTİK
Ekran görüntüsünde bulunan isimlerle temasa geçtiğimizde ise sızıntının gerçek olduğu, gerçek kullanıcıların sızıntıdan etkilendiğini keşfettik.
31 Ocak’tan bu yana henüz bir açıklama veya KVKK bildirimi yayımlanmamış olması dolayısıyla Siber Bülten olarak, Collezione markasına mevzu bahis sızıntıyı bilgilendirici bir e-posta yolladık. E-postamıza cevap alamamakla birlikte markaya telefon yoluyla ulaşmaya çalıştık. Ancak tüm çabalarımıza rağmen herhangi bir iletişim kuramadık.
Tüm bu nedenlerle Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile iletişime geçip veri sızıntısı ihbarında bulunduk. Konuya dair herhangi bir bilgilendirme tarafımıza iletilmedi.
Sızıntının nasıl gerçekleştiği bilinmemekle birlikte, halihazırda sızıntıya yönelik herhangi bir adımın atılıp atılmadığı da bilinmiyor.
