Devletlerin ya da devlet dışı aktörlerin, çıkarlarına yönelik istihbari amaçlarla kullandıkları teknolojik imkanlar siber alandaki birçok aygıtla iç içe geçerek etkisini arttırmıştır. Bunlardan en popüler olanı da şüphesiz siber espiyonaj araçları, diğer adıyla casus yazılımlardır.
Pratik olmaları, zor tespit edilmeleri, verimlilikleri ve hızlı reaksiyon göstermeleri bakımından casus yazılımlar birçok devlet için kullanışlı bir istihbarat aygıtı olmaktadır. Oldukça basit bir yazılım aracılığıyla dünyanın birçok noktasındaki hedefe ani ve etkili müdahalede bulunmak ve veriler elde etmek artık rutin bir operasyon olmuştur. Özellikle son yıllarda artan siber alandaki gelişmelerle birlikte devletlerin bu tarzdaki operasyonel kapasiteleri de güçlenmiştir. Burada da kimi zaman özel şirketler devreye girmektedir.
Son zamanlarda ismini sıkça duyduğumuz ve bundan sonra da duymaya devam edeceğimiz NSO Group, ilk olarak 2016 yılında Kanada merkezli Citizen Lab firmasının bir raporuyla detaylıca anlatılmıştı. Yeni adıyla Q Cyber Technologies olarak da anılan NSO Group, casus yazılım ürünleri geliştiren ve bunları sadece devletlere satan İsrail merkezli bir şirkettir ve İngiltere merkezli özel sermaye şirketi Novalpina Capital çatısı altındadır.
Resmi web sitelerinde kendilerini “devletlerin kolluk kuvvetlerine ve istihbarat servislerine terörle ve kritik suçlarla mücadele amacıyla sınıfının en iyi teknolojik çözümlerini üreten şirket” olarak tanıtan NSO Group, skandallarla yine kendinden söz ettiriyor. Daha önce İtalyan Hacking Team firması ile birlikte Cemal Kaşıkçı’nın öldürülmesi olayında anılan NSO, son olarak WhatsApp’ta bulunan bir güvenlik zafiyetini istismar etmesiyle gündemde.
WhatsApp bu mezkûr saldırıyı geçtiğimiz Mayıs ayında tespit etmişti. Kullanıcılarını da bilinmeyen yabancı ülke numaralarından gelen çağrı ve mesajların açılmamasına dair uyarmıştı. Söz konusu saldırının analizi ve soruşturması sonrasında Citizen Lab firmasının tespitleri ve WhatsApp’a yapılan bildirimler üzerine yetkililer, NSO Group’a karşı ABD mahkemelerinde bir dava açtı. Davanın ana sebebi ise NSO Group’un, WhatsApp’ın sunucularındaki bir açıktan yararlanması ve en az 1.400 (tespit edilen) WhatsApp kullanıcısının mobil cihazlarını ele geçirmesi olarak belirtiliyor.
Söz konusu saldırı, bir WhatsApp kullanıcısına yabancı numaralardan gelen görüntülü aramalar ile hedef kullanıcının cihazına sızılabilmesi şeklinde oluyor. İsmi açıklanmayan kaynaklar, bilinen mağdurların önemli bir kısmının onlarca ülkeden (ABD dahil) yüksek seviyede devlet görevlilerinden oluştuğunu, diğerlerinin de BAE, Bahreyn, Meksika, Tunus, Fas, Pakistan ve Hindistan’daki gazeteci ve insan hakları aktivisti olduğunu belirtiyor. Ayrıca geçmiş tarihlerde, Cemal Kaşıkçı ile irtibatlı olan ve Kanada’da yaşayan Ömer Abdülaziz gibi bazı Suudi vatandaşlarının da bu yazılımla izlendiği ortaya çıkmıştı. Yine Cemal Kaşıkçı’nın yazarı olduğu Washington Post’un sahibi ünlü milyarder Jeff Bezos’un da bu yazılımının mağduru olduğuna dair bilgiler medyada yer almıştı. Yine aynı tarihlerde Meksika’nın, uyuşturucu karteli lideri “el Chapo”nun telefonuna bu casus yazılımı yüklediği de iddia edilmişti. Bütün bu olaylarda sözü edilen “süper ajan” casus yazılımın adının Pegasus olduğu ortaya çıktı.
Pegasus casus yazılımının ne olduğunu, NSO Group’a ait sızdırılan bir resmi dokümandan okumak daha açıklayıcı olacak: “…kolluk kuvvetlerinin ve istihbarat teşkilatlarının neredeyse her türlü mobil cihazdan değerli istihbari verileri uzaktan gizli bir biçimde elde etmesini sağlayan, dünyanın önde gelen bir siber istihbarat ürünüdür. Bu ürün ‘elit istihbarat teşkilatlarının kıdemli çalışanları’ tarafından, son derece dinamik hale gelen siber savaş sahasında devletlere hizmet sağlamak için geliştirilmiştir… Pegasus, görünmez yazılımı (ajan) sessizce hedef cihaza iletir. Bu ajan daha sonra analiz için toplanan verileri çıkartır ve güvenli bir şekilde iletir. Kurulum genellikle uzaktan yapılır, hedeften herhangi bir işlem yapması beklenmez veya hedefle bir araya gelinmesi gerekmez. İşin sonunda cihaz üzerinde hiçbir iz bırakılmaz. Pegasus, kritik bir istihbarat-misyon sistemidir.”
Bu dokümanda, Pegasus ile ilgili bilgilerin yanında dünyadaki gelişmeler, yeni teknolojik imkanlar, istihbarat paradigmaları ve “siber savaş sahaları” gibi konularda da bir makale çalışması tarzında yorumlar mevcuttur. Pegasus’a gelince de burada küçük ama devasa etkisi olan bir casus yazılım ile karşı karşıya olduğumuzu anlıyoruz. Android, iOS, BlackBerry ve Symbian gibi bütün akıllı telefonlarda çalışabilen Pegasus’un hedefe nasıl sızdığını ve ne tür veriler topladığını yine bu resmi dokümanı incelediğimizde görebiliriz.
Dokümana göre Pegasus’un hedefe sızma teknikleri, cihaza anlık mesajlar göndererek (kullanıcının mesajı açmasına veya linke tıklamasına ihtiyaç olmadan), SMS ya da e-posta ile yemleme yaparak (sosyal mühendislik operasyonu), sahte baz istasyonu gibi davranan taktik sistem ile cihaza ulaşarak ve telefona çağrı yaparak gerçekleşiyor. Sızılan hedeften elde edilen veriler ise metin mesajları (SMS), e-postalar, takvim kayıtları, arama geçmişi, rehber listesi, anlık mesajlaşma uygulamalarındaki konuşmalar (uçtan uca şifreleme ile çalışan WhatsApp dahil), anlık yapılan aramalar, çevresel sesler (mikrofon kaydı), anlık kamera görüntüleri, çekilen fotoğraflar, anlık ekran görüntüleri, her türden doküman ve belge, cihazın konum bilgisinin izlenmesi (GPS kapalı olsa bile) ve cihazın teknik bilgilerinden oluşuyor ve ilgili dokümanda bu liste daha da uzuyor.
WhatsApp skandalında adını daha geniş kitlelere duyuran Pegasus bize, hem özel hayatın gizliliği ve hak ihlallerinin nasıl tehlikeye uğradığını hem de dünya lideri şirketlerin “yüksek güvenlikli” olduğunu iddia ettikleri cihazların ve uygulamaların aslında ciddi zafiyetler barındırdığını ifade etmektedir. Elbette burada yazılımsal ve donanımsal zafiyetlerin yanında siber güvenlik konusunda bireysel farkındalığın da önemi ortaya çıkmakta.
Pegasus casus yazılımı üzerinden, dünyadaki siber silah ticaretinin ve bunların neden olduğu özel hayatın gizliliği ve ulusal güvenlik ihlallerinin ne boyutta olduğunu anlayabiliyoruz. NSO Group yetkilileri her ne kadar ürünlerini sadece devletlere sattıklarını ve küresel terörizmi ve birtakım kritik suçları önleme amacıyla hizmet sunduklarını iddia etseler de hedef alınanlara baktığımızda bu iddialar anlamsız oluyor. 2018 yılından bu yana yaklaşık 45 ülkede tespit edilen bu casus yazılımın kimler tarafından ne amaçla kullanıldığını elbette sadece ona sahip olanlar ve kontrolünü sağlayanlar bileceklerdir.
Pegasus sadece ifşa edilen siber silahlardan biridir. Daha nice ifşa edilmemiş ya da tespiti yapılmamış bu tarz silahların varlığı kuvvetle muhtemeldir. Ayrıca birkaç ay önce Çin istihbarat servisinin sadece Uygur ve Tibet bölgesini hedef alan bir casus yazılım ürettiği ve üst düzey isimleri izlediği yönünde tespitlerin yer aldığını da belirtelim. Dolayısıyla devletler doğrudan ya da özel şirketler aracılığıyla bu tarz sistemler geliştirip kullanmışlardır ve bu tutumlarını da çıkarları gereği sürdüreceklerdir.
İstihbarat servislerinin artık geleneksel yöntemlerin yanında özellikle tercih ettiği bu “siber ajan”lar gün geçtikçe konuşulmaya devam edecektir. Görünen o ki NSO Group ve Hacking Team firmaları ile birlikte, Amesys (Fransa), Gamma Group (İngiltere) ve devlet destekli onlarca siber casusluk yazılımları üreten firmalar da yeni skandallara konu olacak ve siber silahlar (özellikle casus yazılımlar) konusu uluslararası alanda önem arz edecek.
