Birçok farklı tanımı yapılabilmekle birlikte, en genel ifadeyle siber espiyonaj: “gizli ve manipüle edilmiş eylemler ile internet temelli teknolojiler kullanılmak suretiyle hedef şahıs, kurum veya devlet hakkında gizli kalması gereken ya da özel mahiyetli olan bilgilerin temin edilmesi” şeklinde tanımlanabilir.
Pegasus siber espiyonaj yazılımın üretilmesi örneğinde olduğu üzere, İsrail dünya genelinde siber espiyonaj kapasitesi en etkili devletlerden biri olarak kabul edilmektedir. Hatta İsrail, bu kapasitesini 2010 sonrası dönemde çok daha etkili bir hale getirerek, dünyadaki en önemli siber espiyonaj ürünleri ihracatçısı konumuna da gelmiştir. Örneğin 2014’teki global siber güvenlik sektöründeki payı yüzde 8 büyüyerek, 6 milyar dolara ulaşmıştır. 1996 yılında sadece 20 adet siber güvenlik bulunmaktayken, bu oran 2017’de 420’ye çıkmıştır. İsrail siber güvenlik firmalarının 26 tanesi, 2017 için bakıldığında dünyanın en aktif ve hızla büyüyen ilk 500 siber güvenlik şirketi arasında yer almaktadır.
İsrail’in güçlü siber espiyonaj kapasitesine ulaşmasının arka planında, 2000’ler ile birlikte aşama aşama geliştirilen etkili bir strateji söz konusudur. İsrail’in, özellikle Benjamin Netanyahu döneminde son derece güçlü bir seviyeye ulaşan siber espiyonaj kapasitesinin temelleri aslında 2000’li yıllarda Ariel Sharon dönemindeki güvenlik politikalarıyla atılmıştır.
İsrail’in, 2010’dan sonra atılan adımlar ile birlikte, ulusal siber savunma ve saldırı stratejilerinin gelişiminde özel sektörün imkanlarından azami ölçüde faydalanma yoluna gittiği ve bu tercihin sonuçlarını da günümüzde olumlu bir şekilde almaya başladığı ifade edilebilir. Netanyahu’nun 2017 yılında verdiği bir röportajda “İsrail’in küresel düzeyde aktif olan en önemli beş siber güçten biri olduğunu” deklare etmiş olması da dikkat çekicidir.
Ulusal güvenlik öncelikleri kapsamında kamu-özel sektör ve akademi çevreleri ortaklığı ile geliştirilen, aynı zamanda ortaya çıkan hasılanın da küresel düzeyde ticarileştirilmesi nedeniyle ciddi bir ekonomik değere kavuşan İsrail’in siber güvenlik modelinde, farklı kurumsal yapılanmaların birbirleriyle koordineli bir şekilde faaliyet göstermeleri oldukça önemlidir. Bu itibarla Pegasus isimli casus yazılımı geliştiren şirket çalışanlarının önemli bir kısmının İsrail Ordusu (İsrail Savunma Güçleri / IDF) eski mensubu olmasının, bunun yanı sıra İsrail’in kamu ve özel sektör işbirliği temelinde üniversitelerin de AR-GE desteği ile geliştirilen siber güvenlik stratejisini ortaya koyması bakımından oldukça dikkat çekici bir örnektir. Bu noktada genel olarak İsrail’deki siber güvenlik sektörü çalışanlarının yüzde 25’inin eski ordu ve gizli servisi mensubu oldukları belirtilmelidir.
İsrail’in mevcut siber gücü dikkate alındığında, Pegasus’un etkinliği ve hedef aldığı devletlere verdiği zararın bu denli tartışılıyor olması şaşırtıcı olmamalıdır. Aslında Pegasus’a dair söz konusu iddialar yeni değildir. Bu casus yazılımın varlığı, ilk olarak 2016’da hazırlanan bir takım teknik araştırma raporlarında gündeme gelmiştir. Buna göre Pegasus’un, Suudi Arabistan, Birleşik Arap Emirlikleri (BAE), Fas, Pakistan, Hindistan, Sudan, Meksika, İspanya, Fransa, Macaristan gibi 50’den fazla ülkede tespit edildiği ve bu ülkelerdeki üst düzey siyasetçiler, gazeteciler, aktivistler, hukukçular ile STK temsilcilerinin izlendiği ve hedef alındığı ileri sürülmüştür.
Pegasus’un, hedefe iki farklı metotla bulaştığı ileri sürülmektedir. Bunlardan ilki kullanıcının etkileşimini (tıklama vb.) gerektirirken yöntemdir. Örneğin Pegasus yazılımını içeren bir linkin kullanıcı tarafından tıklanması veya açılması ile bu yazılımın hedefin cep telefonuna bulaşması. Diğeri ise “zero click” (sıfır gün) olarak bilinen siber saldırı yöntemidir. Sıfır gün saldırıları, ilk kez tespit edilen bir güvenlik açığına yönelik olarak henüz yama geliştirilmeden düzenlenen saldırıları ifade eden bir kavramdır. Bu saldırı yöntemi ile Pegasus casus yazılımı, henüz güvenlik önlemi bulunmayan zafiyetler üzerinden hedefin cep telefonuna bulaştırılmaktadır. Bu kapsamda Pegasus, hedeflerin cep telefonlarına en çok WhatsApp uygulamasındaki açıklar kullanılarak yüklenmektedir.
Pegasus’u diğer espiyonaj yazılımlarından ayıran en önemli fark ise bu yazılımın bir nevi “self-destruction” (kendini imha etme) niteliğine sahip olmasıdır. Bu kapsamda Pegasus; ABD, Rusya, Çin, İsrail ve İran’ın sınırları içerisine girdiğinde kendini imha edebilmektedir. Bununla birlikte günümüzde 45 ülkede kullanımda olduğu iddia edilen Pegasus’un, yine Tel Aviv yönetiminin talebi kapsamında söz konusu beş ülkeye satışının da yasak olduğu ileri sürülmektedir.
Öte yandan Pegasus’un, bulaştığı cep telefonlarında; telefon çağrılarını dinleyebildiği (görüşmelerin anlık olarak dinlenmesi ve kaydedilmesi), kamera ve mikrofonların anlık olarak çevreden ses ve görüntü alınmasını sağladığı, metin mesajlarına, e-postalara ve chat uygulamalarına eriştiği, rehberde kayıtlı kişi bilgilerine, konum bilgilerine ve dosya transferlerine ulaştığı da ileri sürülmektedir. Bu imkan ve kabiliyetleri dikkate alındığında, Pegasus espiyonaj yazılımının etkinliğinin tartışmasız olduğu da bir gerçektir.
Pegasus ile dünya genelinde bugüne kadar 50 bin kişinin takip edildiği de açık kaynaklarda speküle edilmekte. Türkiye’de ise 2018’de vahşice öldürülen Cemal Kaşıkçı’nın yanısıra Kaşıkçı’nın arkadaşı gazeteci Ömer Abdülaziz, eski eşi El Atr ve nişanlısı Hatice Cengiz ile Kaşıkçı cinayetini soruşturan eski İstanbul Cumhuriyet Başsavcısı İrfan Fidan, AK Parti Genel Başkan Danışmanı Yasin Aktay ve gazeteci Turan Kışlakçı’nın mobil cihazlarının takip edildiği bu spekülasyonlar arasında yer almaktadır. Dünya genelinde ise Pegasus tarafından Fransa Cumhurbaşkanı Emmanuel Macron, Pakistan Başbakanı İmran Khan gibi onlarca üst düzey devlet görevlisinin, gazetecilerin, aktivistlerin ve akademisyenlerin hedef alındığı iddia edilmektedir.
