Nedir bu Pegasus?

Bugün ki makalemizde, pek çok ülkeyi yakından ilgilendiren ve casus yazılımların günümüzde geldiği noktayı anlamamıza yardımcı olacak telefon casus yazılımlarını inceleyeceğiz. İlk inceleyeceğimiz casus yazılım şüphesiz ki “Pegasus” olacak. Pegasus, NSO Group Technologies adlı İsrail merkezli şirketin akıllı telefonların uzaktan izlenmesi için geliştirilen bir casusluk programıdır. Yazılım, hedef alınan kişinin mesaj, konum, mikrofon v.b gibi özelliklerini ele geçirmeyi ve satın alan ülkeler için istihbarat toplamayı amaçlar. Burada “ülkeler” kelimesinin altını çizmekte fayda görüyoruz. Sonrasında bu noktaya değineceğiz.

Pegasus nasıl çalışıyor ?

Pegasus’un 2016 yılında güvenlik araştırmacıları tarafından ele geçirilen en eski sürümünde, hedeflenen kişinin telefonunu bulaşmak için kullanılan yöntem, phishing olarak kayıtlara geçiyor. Yani hedeflenen kişinin telefonuna zararlı yazılım bulaşması için tıklaması gereken bir link paylaşılıyor. Bu link sosyal mühendislikle birleştirilerek hedefin tıklanma olasılığı arttırılarak saldırı gerçekleştiriliyor.

Daha sonraki versiyonlarda ise NSO Group’un saldırı yetenekleri daha da gelişiyor. Bu gelişimi uygulamalar üzerinde buldukları 0-Day zaafiyetleriyle görüyoruz. Artık hedef için bir link paylaşmaya gerek kalmıyor. Bulunan uygulama üzerindeki 0-Day ile saldırı gerçekleşerek hedeflenen kişinin telefonu avlanabiliyordu. Günümüzde en popüler olan WhatsApp, iMessage gibi uygulamalarda 0-Day keşfeden grup, Whatsapp üzerinde hedeflenen kişiyi bir telefon aramasıyla (hedefin telefonu açıp açmaması önemli değil) yahut iMessage üzerinden gönderdiği bir mesaj ile (hedefin mesajı okuyup okumaması önemli değil) telefonlara sızabiliyordu.

Çoğunlukla Android ve IOS işletim sistemlerinin kullanan akıllı telefon pazarı bu casus yazılım ile ilgili bir çözüm bulamıyor muydu? Aslında hedeflenen telefondan elde edilen bilgileri çıkarmak çok kolay değil. Çünkü bu noktada işletim sisteminin bazı güvenlik aşamalarına takılabiliyorsunuz. Bu verinin dışarıya çıkmasında ki en kolay yol hedef telefonun Android ise “Root(privilege)”, IOS ise “Jailbreak” olmasıdır. Bu noktada akıllara şu soru gelmeli: “WhatsApp, iMessage gibi uygulamalarda 0-Day zaafiyetleri keşfeden bir grup için işletim sistemine Local Root Exploit ya da JailBreak yazması ne kadar zor olabilir? Çokta zor olmaz gibi

Zor olsa bile son çare kullanıcıdan verileri çıkarabilmek için gerekli izinleri istemek olabilir.

Devletler ve Pegasus

Devletler, istihbarat örgütleri, zenginler… Pegasus’un müşterileri kimler?

Pegasus şirket veya şahıslara değil yalnızca istihbarat servisleri ve hükümetlere satılmaktadır. Şirketin tüm satışları İsrail Savunma Bakanlığı’nın onayından geçmek zorundadır. Programın İsrail yönetiminin talebiyle beş ülkeye girdiği anda (ABD, Çin, Rusya, İsrail, İran) kendini imha ettiği iddia edilmektedir.

Tabii yukarıdakilerin hepsi bir iddia…Sonuçta şirket veya kişilere satmadığını bizlere göstermiyor. 2016 yılından beri 50 ülkede 1000’den fazla kişinin NSO müşterileri tarafından hedef alındığını biliyoruz. Bu hedef alınan kişiler arasında; 189 gazeteci, 600’den fazla politikacı ve hükümet yetkilisi olduğunu raporlara konu oldu. Raporlara göre, Fransa Cumhurbaşkanı Emmanuel Macron, Güney Afrika Cumhurbaşkanı Cyril Ramaphosa ve Pakistan Başbakanı Imran Khan’ın da bulunduğu birkaç devlet başkanı yer alıyor.

Gazeteciler arasında Al Jazeera , The Associated Press, Reuters, CNN, The Wall Street Journal, Le Monde ve The Financial Times çalışanları yer alıyor. Dünya çapında en az 65 şirket yöneticisi ve 85 insan hakları aktivisti de hedef alındı. Suudi Arabistan’ın İstanbul, Türkiye’deki başkonsolosluğunda öldürülen Cemal Kaşıkçı’nın nişanlısı Hatice Cengiz ve yakın arkadaşı Ömer Abdülaziz ile Kaşıkçı soruşturması sırasında İstanbul Cumhuriyet Başsavcılığı yapan İrfan Fidan’ın da takip edilenler aralarında bulunduğu iddiaları mevcut. Pegasus’un müşterilerinin çoğunun: “Azerbaycan, Bahreyn, Macaristan, Hindistan, Kazakistan, Meksika, Fas, Ruanda, Suudi Arabistan ve Birleşik Arap Emirlikleri” olduğu raporlarda konu olan başka bir bilgi.

Türkiye hedef alındı mı?

Yayınlanan raporlara göre Türkiye’den hedef alınan kişilerde oldu. Türk-Arap Medya Derneği Başkanı Türk Gazeteci Turan Kışlakçı hedef alınan kişilerden biri. Pegasus yazılımının hedef alınan telefondaki bilgileri kontrol merkezine aktarmak için kullandığı domainlerden bazıları,

• https://turkeynewsupdates.com/
• https://turkishairines.info/

Bu domainlerden yola çıkarak bir çok kişinin bu saldırılardan etkilendiği ekibimiz tarafından düşünülmektedir.

Raporlara rağmen tepki ne oldu?

Raporun yayınlanmasından sonra yayınlanan bir bildiride, Uluslararası Af Örgütü Genel Sekreteri Agnes Callamard, NSO’nun teknolojisinin kolluk çalışmaları için kullanıldığına dair iddiaları reddetti. Callamard, “NSO Group, casus yazılımlarının yalnızca suçla mücadelede kullanıldığı iddiasının arkasına saklanamaz. öyle görünüyor ki Pegasus, yabancı hükümetleri gözetlemek isteyenler için de tercih edilen casus yazılımdır,” dedi. Temmuz 2021’de Paris savcılığı , Fas istihbarat servislerinin birkaç Fransız gazeteciyi gözetlediği iddialarına ilişkin bir soruşturma başlattı. Fas iddiaları yalanladı. Geçen Kasım ayında, ABD Ticaret Bakanlığı , NSO Group’u kara listeye aldı ve ABD teknolojisine erişimini engelledi. NSO, görevi kötüye kullanmayı reddetti ve müşterilerini tanımlamadığını söyledi. Ürünlerinin suçlulara ve “teröristlere” karşı kullanılmak üzere tasarlandığını ve ürünlerini sadece İsrail savunma bakanlığının onayıyla devlet güvenlik kurumlarına sattığını iddia ediyor.

Telefonumda Pegasus olup olmadığını nasıl anlayabilirim?

Bu makaleyi okuyorken belki siz de bir hedefsiniz, belki şuan telefonunuzda Pegasus aktif. Bunu anlamanız için bazı bilgiler paylaşacağız, tespit etmenin nispeten kolay yolu Uluslararası Af Örgütü Mobil Doğrulama Araç Setini kullanabilirsiniz. https://github.com/mvt-project/mvt Bu araç hem Linux hem de MacOS altında çalışabilir ve telefondan alınan bir yedeği analiz ederek mobil cihazınızın dosyalarını ve yapılandırmasını inceleyebilir.

Pegasus’tan korunmak mümkün mü?

Günümüzde 0-Day saldırılar için güncel bir çözüm yok ama Pegasus ve diğer casus yazılımlar için bazı önlemler almak mümkün.

• Güncel işletim sistemi versiyonları tercih edilmeli,
• Telefonunuz internete çıkma noktasında bir firewall yardımıyla güvendiğiniz alan adları ve iplere izin verebilirsiniz. (En etkili çözüm),
• IOS işletim sistemleri için telefonunuzu yeniden başlatmak Pegasus Casus Yazılımı etkin olsa bile yeniden başlatmak sorunu ortadan kalkacaktır,
• Ücretsiz Wifi , Halka Açık Wifi, Otel Wifi gibi güvensiz internet noktalarına bağlanmayın
• VPN kullanın,
• Kaynağını bilmediğini bağlantılara tıklamayın,
• Uygulama izinlerini kısıtlayın,
• Bilmediğiniz güvenmediğiniz uygulamaları kurmayın.

Predator Casus Yazılım

Pegasus Casus Yazılımını inceledikten sonra 2. inceleyeceğimiz casus yazılımızın ismi: Predator Casus Yazılımı. Kuzey Makedonya menşeili Cytrox Software şirketinin geliştirmiş olduğu bir casus yazılım. Pegasus kadar etkili olan bu casus yazılımın Pegasus’dan daha tehlikeli olup olmadığını siz okurlarımızın takdirine sunacağız. Çünkü günümüze kadar yapılan analizlerde, Predator’un daha tehlikeli olduğu bazı noktalar mevcut. Bunlardan en önemlisi; Predator IOS işletim sisteminde telefona atılan resetten sonrada çalışmaya devam edebiliyor. Predator’u, Pegasus’tan ayıran ve daha tehlikeli kılan en önemli faktör IOS işletim sisteminde telefonu yeniden başlattıktan sonra bile kendini çalıştırabilme özelliği.

Cytrox şirketi kendini hükümetlere cihazlardan ve bulut hizmetlerinden bilgi toplamayı sağlayan “Siber İstihbarat Çözümleri” şirketi olarak nitelendiriyor. Günümüzde bu tarz çözümler üreten şirketlerin sayısı gün geçtikçe artıyor. Bu şirketlerin artması üretici oldukları ülkeleri siber güvenlik alanında bir adım öne çıkarırken diğer ülkeler için tehdit oluşturmaya devam ediyor. Secunnix olarak ön görümüz bu şirketlerin artması aslında ülkelerinde siber savaşlara hazırlanma noktasında bir güç gösterisi. Şunu unutmamamız lazım ki Rusya-Ukrayna savaşında, savaş başlamadan önce Rusya, Ukrayna’nın internet alt yapısına saldırı başlatılarak savaş başlamıştı. Herkesin merak ettiği o soru bizimde aklımıza geliyor. Türkiye’nin böyle hazırlıkları var mı? Analizlerimiz neticesinde ülke olarak bu tarz saldırılara önlem alabilme noktasında çalışmalarımız varken, benzer çalışmalar yapacak şirketler henüz oluşabilmiş değil. Secunnix olarak bu konuları önemsiyor, sürekli inceliyor ve bu konular hakkında çalışmalara çok yakın zamanda başlayacağımızın müjdesini de makalemiz aracılığıyla belirtiyoruz.

Pegasus ile Predator arasındaki farklar neler ?

Predator, Ar-Ge alanında Pegasus’a göre biraz daha zayıf kalıyor. Bunun nedeni Pegasus kendi bulduğu 0-Day zafiyetleriyle çalışırken, Predator daha çok public olmuş zafiyetlerden yararlanmaya çalışıyor. Bunların en önemlileri Google Chrome’da çıkan CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 ve Android’de çıkan CVE-2021-1048 zaafiyetleriydi. Yazılım bunları kullanarak bir bağlantı üzerinden hedefin telefonuna yerleşmeye çalışıyordu. Citizenlab’ın, Predator özelinde yaptığı çalışmalarda İstanbul’da yaşayan Mısırlı eski politikacı ve gazeteci Ayman Nour’un hedef alınma analizlerinden birkaç ekran görüntüsü paylaşacağız. Bu görüntüler hedefe yönlendirilen bağlantılarla alakalı.

Nour’a gönderilen Cytrox Predator bağlantısına eşlik eden bir görüntü: “Türkiye, Mısır muhalefet kanallarından Mısır’ı eleştirmeyi bırakmalarını istiyor ve Kahire ile ilgili yorum yapıyor…”

Nour’a gönderilen bir Cytrox Predator bağlantısına eşlik eden bir görüntü: “Ramses’teki [6th] Ekim Köprüsü’nün tepesinden bir arabanın düştüğü an.

Nour’a gönderilen Cytrox Predator bağlantısına eşlik eden bir görüntü, Al Masry Al Youm gazetesinin legal web sitesine bir bağlantı olduğunu iddia ediyor. Gerçek bağlantı, sahte almasryelyuom[.]com’a gidiyor.

Nour’a gönderilen Cytrox Predator bağlantısına eşlik eden bir görüntü: “Son dakika haberi.. Bugün İskenderiye tren kazası. Tüm detaylar…”

Görüldüğü üzere hedef kişilerin çeşitli bağlantılar üzerinden telefonu ele geçirilmeye çalışılıyor.

Güncel Predator saldırısı

Bu yazılımlar sürekli raporlara konu olsa da halen aktif olarak çalışmaya devam ettiklerini, şirketlerin sürekli farklı yöntemler bulmak için çalıştıklarını unutmamak lazım. Son olarak 27 Temmuz’da Yunan sosyalist lider Nikos Androulakis, Yüksek Mahkeme Savcılığına; “Predator casus yazılımı kullanarak cep telefonunu dinleme girişiminde bulunduğunu bildiren bir şikayette bulundu.”

Bu notu önemli olduğunu düşündüğümüz için bırakma gereği hissettik. Predator’un üreticisi Cytrox bir Kuzey Makedonya şirketi olarak görünse de İsrailli farklı konsorsiyumlar tarafından satın alındığını belirtmek gerekiyor. Cytrox Software de NSO Group gibi bir İsrail firması.