Dünyayı Tehdit Eden Casus Yazılım: Pegasus

Ersin Çahmutoğlu Asistan, Güvenlik Çalışmaları

Stratejik siber silah olarak tanımlayabileceğimiz Pegasus casus yazılımı şahıs ya da şirketlere değil, sadece devletlerin istihbarat servislerine ve kolluk kuvvetlerine satılıyor. Bu satışlar da İsrail Savunma Bakanlığı’nın onayından geçmek zorunda.

Uluslararası siber silah pazarının adeta hâkimi olan dijital casusluk yazılımı Pegasus, sarsıcı iddialarla yeniden dünya gündemine oturdu. Guardian, Washington Post, AFP, CNN ve Reuters’ın da aralarında bulunduğu 16 farklı medya kuruluşunca gündeme getirilen iddialar, İsrail üretimi Pegasus’un küresel ölçekte kimlere karşı hangi amaçla kullanıldığına ilişkin tartışmalara neden oldu.

Pegasus’a dair söz konusu iddiaların büyük bir kısmı esasında yıllardır dile getiriliyor. İlk olarak 2016 yılında teknik araştırma raporlarında gördüğümüz Pegasus’un, Suudi Arabistan, Birleşik Arap Emirlikleri (BAE), Fas, Pakistan, Hindistan, Sudan, Meksika, İspanya, Fransa, Macaristan gibi 50’den fazla ülkede tespit edildiği, adı geçen ülkelerde üst düzey siyasetçiler, gazeteciler, aktivistler, hukukçular ve STK temsilcilerinin izlendiği iddia edilmişti. Pegasus’un üreticisi Herzliya merkezli firma olan NSO Group, o dönemlerde söz konusu iddiaların tümünü yalanlamıştı.

2016 yılından günümüze kadar gelen süreçte, Pegasus’un Türkiye’de de tespit edildiği ve birtakım isimlerin hedef alındığı iddialar arasındaydı. Meselenin esas tartışma konusu haline gelmesi ise 2018 yılının Ekim ayında vahşice katledilen Cemal Kaşıkçı’nın Pegasus ile bir süre izlenmiş ve hedef alınmış olmasıydı. 2019 yılında, Kaşıkçı’nın yakın arkadaşı Ömer Abdülaziz önce kendisinin sonra da Kaşıkçı’nın Suudi Arabistan Veliaht Prensi Muhammed bin Selman yönetimi tarafından hedef alındığını çok defa dile getirmişti. NSO, bu iddiaların doğruluk payı olmadığını, ürünlerinin Kaşıkçı cinayetinde herhangi bir rolünün bulunmadığını açıklamıştı.

Uluslararası basında, Pegasus yazılımının bu şekilde kötüye kullanıldığına dair çıkan birçok haberi yalanlayan şirket, bu söylemlerine bugün de ısrarla devam ediyor. Özellikle uluslararası gazeteciler konsorsiyumu Forbidden Stories ve Uluslararası Af Örgütü’nün (UAÖ) hazırlayıp 16 medya kuruluşundan 80 gazeteciyle paylaştığı “dünya çapında 50 bin telefona Pegasus bulaştı” iddiaları şirket tarafından peş peşe yapılan açıklamalarla reddediliyor. İddialara verilen cevapların ikna edici olmadığı da uluslararası alanda tartışılıyor. Peki bu iddiaların doğruluk payı nedir? Bu soruya cevap vermeden önce NSO Group şirketinden ve Pegasus casus yazılımından bahsetmek gerekiyor.

Pegasus ile gelen kötü şöhret

İsrail’in en bilinen siber casusluk ve teknoloji şirketi olan NSO Group, 2010 yılında Herzliya kentinde üç İsrailli tarafından kuruldu. On bir yıllık geçmişe sahip olan şirket, küresel şöhretini amiral gemisi ürünü olan Pegasus casus yazılımı sayesinde kazandı. Fakat çeşitli skandallar ve insan hakları ihlalleri gibi davalarda adı geçen NSO için Pegasus, kötü bir şöhret getirdi.

NSO, İsrail askeri istihbarat servisi AMAN’da teknik istihbarat faaliyetlerinde temel rolü olan Unit8200 teşkilatından gelen üç kişi tarafından kuruldu. Niv Carmi, Shalev Hulio ve Omri Lavie tarafından kurulan şirketin adı, kurucularının isimlerinin baş harflerinden oluşuyor. Daha sonra Niv Carmi ekipten ayrıldı ve NSO 2019 yılında İngiltere merkezli yatırım şirketi olan Novalpina Capital tarafından satın alındı. Niv Carmi’nin yerine Novalpina Capital geçti. Shalev ile Omri, şirketin üst düzey yöneticileri olarak görevlerine halen devam ediyorlar.

2016 yılından itibaren adını daha çok duyduğumuz NSO, bugün sahip olduğu değer bakımından İsrail’in en büyük siber teknoloji şirketi olarak nitelendirilebilir. Her ne kadar çoğu yerde Pegasus gibi siber casusluk ürünleri sağlayan bir şirket olarak bilinse de NSO, Eclipse adını verdiği bir “counter-drone” sistemi de geliştiriyor. 2020 yılının başlarında şirket, yine bir başka İsrail firması olan ve anti-drone teknolojileri üreten Convexum adlı şirketi 60 milyon dolara satın almıştı. Bu satın almanın ardından NSO, sadece altı ayda tamamen kendi ürünü olan Eclipse’i üretti.

Şirketin, Pegasus ve Eclipse dışında iki farklı ürünü daha mevcut. Telefon dinleme ve teknik takip cihazı/aygıtı olan Pixcell ve coğrafi istihbarat (GEOINT) alanında askeri teknolojilere örnek olan Landmark isminde stratejik araçlar da geliştiriyor. Pixcell ve Landmark adlı ürünler hakkında sadece “özel” görüşmelerde bilgi veriliyor.

NSO’nun en meşhur ve muhtemelen en pahalı ürünü olan Pegasus, ifşa olan resmi dokümana göre şirketin en stratejik ürünü olarak biliniyor. 2021 rakamlarına göre 45 ülkede kullanıma sunulan Pegasus’u çoğunlukla devletlerin istihbarat servisleri satın aldı. Değeri net olarak bilinmese de çeşitli kaynaklarda 30-50 milyon dolar arası rakamlardan söz ediliyor.

Kamuoyunda kötü şöhretle anılmaya başladığı 2016 yılından itibaren NSO’ya karşı uluslararası alanda çeşitli suç duyuruları yapıldı. Bunlardan en bilineni, 2019 yılında WhatsApp tarafından açılan dava. Şirket, günümüzde de çeşitli devletlerin ve şirketlerin açtığı onlarca davayla mücadele ediyor.

Pegasus’u diğerlerinden ayıran nedir?

Stratejik siber silah olarak tanımlayabileceğimiz Pegasus casus yazılımı şahıs ya da şirketlere değil, sadece devletlerin istihbarat servislerine ve kolluk kuvvetlerine satılıyor. Satışlar ve diğer bütün görüşmeler doğrudan NSO uzmanları ile yapılıyor. Bu satışlar da İsrail Savunma Bakanlığı’nın onayından geçmek zorunda. Yani Pegasus, yalnızca Tel Aviv yönetiminin izin verdiği devletlere satılabiliyor.

Günümüzde 45 ülkede kullanımda olduğu söylenen Pegasus’un, yine Tel Aviv yönetiminin talebiyle sadece beş ülkeye satışı yapılmıyor; ABD, Rusya, Çin, İsrail ve İran. Hatta bir başka bilgiye göre Pegasus, söz konusu beş ülkenin sınırlarına girdiği anda kendini imha ediyor. Bu özellik, istihbarat fonksiyonu olan bir teknoloji ürünü için stratejik bir konu. Pegasus’un en büyük özelliklerinden biri de bu tip bir “self-destruction” (kendini imha etme) niteliğine sahip olması. Diğer yandan NSO şimdiye kadar 90 ülkenin Pegasus’u satın alma talebini reddetmiş. Burada da Tel Aviv’in çıkarlarının göz önünde tutulduğu görülüyor.

Pegasus, esas olarak iki farklı metotla hedefe bulaşıyor. İlki, kullanıcı etkileşimi (tıklama vb.) gerektirirken, diğeri ise “zero click” olarak bilinen, WhatsApp gibi uygulamalar üzerinden enfekte olma yöntemi. Pegasus casus yazılımı, (en güvenli olarak bilinenler dahil) dünyada bilinen bütün mobil cihazlara bu iki yoldan sızıp onları tamamen kontrol edebiliyor. Sadece kamera, mikrofon ve uygulamalara erişmekle, mesajları okumakla kalmıyor, hedef olan cihaza tamamen hükmedebiliyor.

Yıllar önce ifşa olan NSO dokümanından gördüğümüz bilgilere göre Pegasus’un sızdığı bir cihazdan elde ettiği veriler şu şekilde listelenebilir:

  • Telefon çağrıları (görüşmeleri anlık olarak dinler ve kayıt alır)
  • Kamera ve mikrofon (Anlık olarak çevreden ses ve görüntü alır)
  • Metin mesajları (SMS’lerin tamamına erişir, okur)
  • Chat uygulamaları (WhatsApp gibi programlardaki yazışmaları okur)
  • E-postalar (Gelen ve giden e-posta ve eklerini okur)
  • Konum bilgileri (Anlık olarak konum takibi yapar, gidilen yerleri kaydeder)
  • Cihaz özellikleri, ayarlar ve şebeke bilgileri
  • Rehberde kayıtlı kişiler
  • Web tarayıcı kayıtları (her türlü internet tarayıcısını anlık olarak izler)
  • Takvim etkinlikleri
  • Dosya transferleri (alınan ve gönderilen dosyaları okur)

Bütün bunlar Pegasus’un basit bir casus yazılım değil, stratejik bir akılla üretilen bir siber silah olduğunun göstergesi. Pegasus’un İsrailli uzmanlarca “askeri düzeyde casus yazılım” olarak tanımlandığını da vurgulamak gerekir. Son olarak, Pegasus için söylenen şu söz, onun niteliğini özetliyor: “Pegasus cihazınıza bulaşırsa, o cihaz artık sizin değildir.”

Pegasus, 50 bin kişiyi izledi mi?

NSO ve Pegasus’tan bahsettikten sonra, analize konu olan esas meseleye geliyoruz. Geçtiğimiz günlerde “Pegasus Project” başlığıyla birçok yayın kuruluşu tarafından eş zamanlı olarak gündeme taşınan haberlerdeki en sarsıcı husus, Pegasus’un dünya çapında 50 bin telefona bulaştığı ve muhtemelen tamamını anlık olarak izlediği iddiasıydı. Forbidden Stories ve UAÖ, söz konusu iddiaların kaynağı olarak biliniyor. Forbidden Stories ve UAÖ’nün teknik analizlerine dayandırdığı iddiaları daha sonra diğer uluslararası medya kuruluşları da haberleştirince uluslararası kamuoyunun dikkati bir anda bu konu üzerine odaklandı.

50 bin telefon numarasının yer aldığı listeden bahseden söz konusu kuruluşlar, listenin nasıl ve nereden elde edildiğini açıklamadılar. İddiaları öne sürerken de ellerinde nasıl bir kanıt olduğuna dair açık bilgi/veri sunmadılar.

Aralarında Fransa Cumhurbaşkanı Emmanuel Macron, Pakistan Başbakanı İmran Han gibi onlarca üst düzey devlet görevlisinin, holding patronlarının, gazetecilerin, aktivistlerin ve akademisyenlerin bulunduğu ve 50 bin kişi içerdiği söylenen liste, esasında potansiyel hedefler olarak nitelendiriliyor. Listenin içeriğine dair bilgiler kısıtlı olarak açıklansa da bunlara dair sunulan teknik rapor ve ortaya konulan dokümanlar, mevcut haliyle ikna edici olmaktan uzak kalıyor.

Bu konuda NSO’nun CEO’su ve kurucu ortağı Shalev Hulio da iddiaları yalanlayan bir açıklama yaptı. Hulio, kendilerine, 50 bin kişilik listenin dolaşımda olduğuna dair güvenilir yerden bir ihbarın geldiğini ifade ediyor. NSO’nun Kıbrıs’ta yer alan sunucularının hacklendiğini ve sonrasında söz konusu listenin elde edildiğini öğrendiklerini ancak incelemeler sonrası böyle bir listenin varlığı konusunda herhangi bir bulguya ulaşmadıklarını vurguluyor.

Burada bir noktayı da açmak gerekiyor: NSO’nun İsrail dışında Kıbrıs ve Bulgaristan’da da ofisleri olduğu söyleniyor. İsrailli bir başka firma olan Circles, Kıbrıs’ta faaliyet yürüten bir siber istihbarat şirketiydi. Kurucusu Tal Dilian, Unit8200’de üst düzey yönetici olarak görev yaptıktan sonra oradan ayrılıp Circles’ı kurmuştu.

2019 yılında “Casus Panelvan” adıyla haberlere konu olan Tal Dilian, şirketi üzerinden Kıbrıs’ta teknik istihbarat faaliyetleri yürüttüğü tespit edilince üç kişiyle birlikte tutuklanmıştı. Şirketin NSO’ya katılmasıyla birlikte faaliyetlerinin tümü de NSO uzmanlarınca yürütülmeye başlanmıştı. Fakat şirketin karşı karşıya kaldığı sorunlardan sonra NSO geçen yıl tüm Circles çalışanlarının işine son verdi ve Kıbrıs’taki ofisi de kapattı.

NSO’nun CEO’su Hulio, 50 bin kişilik listeyle ilgili iddiaların tümünü birçok kez yalanladı. “NSO’nun tüm geçmişini alsanız dahi, şirketin kuruluşundan bu yana Pegasus’ta 50 bin kişi içeren bir hedef listesine ulaşamazsınız,” diyen Hulio; “Pegasus’un 45 müşterisi var ve müşteri başına yılda yaklaşık 100 hedef var. NSO’nun tüm Pegasus hedeflerini içeren bir listesi bulunmuyor. Çünkü şirket, müşterilerinin sistemi nasıl kullandığını gerçek zamanlı olarak bilemez,” ifadelerini kullandı.

Hulio bu açıklamalara ilave olarak şunu da belirtmişti: “Eğer Bin Ladin gibi bir terörist değilseniz, Pegasus sizi hedef almaz.” Fakat aynı zamanda Hulio’nun açıklamalarında diğerleriyle çelişen bir cümle de var: “Müşterilerimizin kimleri hedef aldığını anlık olarak bilemeyiz. Ancak soruşturma başlattıktan sonra gereken incelemeleri yapabiliriz. Aykırı durum olursa, sistemi kapatırız…” Bu ifadelerden şunu anlayabiliriz: NSO, Pegasus operatörlerinin (devletlerin) kimleri hedef aldığını nihayetinde mutlaka bilir ve istediğine müdahale edip sistemi kapatabilir.

Diğer yandan, Pegasus’un hedef aldığı iddia edilen 50 bin kişilik listeyi öne süren kaynaklardan biri olan UAÖ, kendi içerisinde de çelişen açıklamalarda bulundu. UAÖ’nün İsrail temsilcisi, söz konusu listeyi hiçbir şekilde NSO ile ilişkilendirmediklerini resmi bir belgeyle açıkladı. “İsrail menşeli bir haber sitesinde yayınlanan bu iddiayı Twitter’da paylaştığımızda dünya çapında olağanüstü bir reaksiyon gelişti.” UAÖ’nün uluslararası ofisi NSO’yu suçlarken, İsrail ofisi aksini söylüyor. Buradan da anlaşılacağı üzere, kafa karıştırıcı açıklamalar yüzünden NSO’nun gerçekten toplamda 50 bin kişiyi hedef alıp almadığı konusu tartışmalı bir mesele olarak kaldı.

Türkiye’den kimler var?

Pegasus’un dünya çapında hedef aldığı isimlere dair haberler 2016 yılından beri teknik raporlarda açıklanıyor. Bugüne kadar onlarca gazeteci, aktivist, avukat, siyasetçi, suç örgütü lideri ve teröristin hedef alındığı biliniyor. Pegasus’un sadece terörle ve uluslararası suçlarla mücadele amacıyla geliştirildiğini söyleyen NSO yöneticileri, muhalif gazeteci, siyasetçi ya da diğer meslek gruplarının neden hedef olduklarına dair ikna edici açıklamalar yapamıyorlar.

Elli bin kişilik listeye gelince yine aynı durumla karşı karşıyayız. Listede yer alan isimlerin hiçbirinin terör örgütü/suç örgütü üyesi olmadığı söyleniyor. Devlet başkanları, siyasetçiler ve üst düzey bürokratların yer aldığı listede Türkiye’den de bazı isimlerin olduğu dile getiriliyor.

2018 yılında Cemal Kaşıkçı vahşice öldürüldükten sonra, Kaşıkçı’yla birlikte yakın arkadaşı gazeteci Ömer Abdülaziz, eski eşi El Atr ve nişanlısı Hatice Cengiz’in telefonlarının Pegasus’la hedef alındığı açıklanmıştı. Kanada’da yaşayan Abdülaziz, bu iddiaları çok defa doğrulamıştı. Hulio, diğer iddialar gibi bunların da tamamını reddediyor.

Dünyanın konuştuğu iddialar, geçtiğimiz günlerde ortaya atılan listedeki bazı isimlerin açıklanmasını takiben Türk kamuoyunun da dikkatini çekti. Kaşıkçı cinayetini soruşturan eski İstanbul Cumhuriyet Başsavcısı İrfan Fidan, AK Parti Genel Başkan Danışmanı Yasin Aktay ve gazeteci Turan Kışlakçı listede bilinen isimler olarak öne çıktılar.

İddiaların doğru olup olmadığını net olarak bilen tek merci NSO’nun kendisi. Ancak adı geçen isimlerin de konu hakkında bilgisi olması muhtemel. Diğer yandan istihbarat kurumlarının da Pegasus’un ülkemizdeki aktivitelerine dair bilgiye sahip olduğu düşünülüyor.

Pegasus ve benzerlerinin gidişi nereye?

Dünya siber silah pazarının geldiği nokta oldukça endişe verici. Hem bireyler ve devletler hem e şirketler ve uluslararası örgütler bazında büyük tehlikeler söz konusu. Pegasus gibi siber casusluk araçlarının kimler tarafından ne amaçla kullanıldığı net olarak bilinmediği için özellikle devletler büyük tehdit altındalar.

Ulusal güvenlik meselesi olarak görülebilecek bu tür siber silahlar, iki düşman devletin birbirine karşı kullanabileceği bir silah haline gelebilir. Hatta barış dönemlerinde bile devletler, pratik ve hızlı olmaları nedeniyle bu tür “dijital casuslara” istihbarat toplama amacıyla başvurabilir.

Buraya kadar anlattıklarımız sadece Pegasus değil, diğer casus yazılımlar için de geçerli olabilir. Bu durum, siber silah endüstrisinin gidişatının korkutucu boyutuna işaret ediyor. Bu korkutucu gidişata “dur” diyecek olanlar ise sadece devletler.


Bu makale ilk olarak 26.7.2021 tarihinde Anadolu Ajansında yayımlanmıştır.

https://www.aa.com.tr/tr/analiz/dunyayi-tehdit-eden-casus-yazilim-pegasus/2314321

İran’da Kritik Altyapılar Yeniden Siber Saldırıların Hedefinde

Ersin Çahmutoğlu

İran’a defalarca siber operasyon yürüten İsrail’in, Mayıs 2020’de Bender Abbas Limanına gerçekleştirdiği siber saldırılara atıf yapılarak bu saldırıların da İsrail tarafından yapıldığı öne sürülmektedir.

Büyüyen Siber Tehdit: Fidye-Yazılım Operasyonları

Ersin Çahmutoğlu

Küresel siber operasyonlar arasında fidye-yazılım (ransomware) saldırıları yükselişe geçti. Özellikle ABD son zamanlarda saldırı silsilesiyle mücadele etmeye çalışıyor.