Pegasus Casus Yazılımı Nedir? Nasıl Bulaşıyor?

İsrailli NSO Group’un geliştirdiği Pegasus casus yazılımı, en son iOS sürümünü kullanan iPhone 12’yi hiçbir tıklama yapmadan hackleyebiliyor.

Washington Post ve diğer kaynakların bildirdiğine göre, üç düzineden fazla gazeteciye, insan hakları aktivistine ve şirket yöneticisine ait akıllı telefonlara bir İsrail firmasının sözde teröristleri ve suçluları yakalamak için sattığı güçlü casus yazılımlar bulaştı.

Pegasus Casus Yazılımı Nedir?

Pegasus, İsrailli NSO Group tarafından geliştirilen bir casus yazılmdır. Yazılım, sıfır gün açıklarından faydalanarak kurbanın hiçbir yere tıklamasına gerek kalmadan, doğrudan SMS ile bulaşabiliyor. Sıfır gün açıkları, henüz yamalanmamış açıklar olduğundan Pegasus, en güncel iOS yüklü bir iPhone’a dahi bulaştırılabiliyor.

İsrail merkezli casus yazılım satıcısı, Birleşik Arap Emirlikleri, Meksika ve diğer ülkelerdeki baskıcı hükümetlerin gazetecilere, aktivistlere ve terörizm veya suçla bağlantısı olmayan diğer gruplara karşı kötü amaçlı yazılım kullandığı tespit edildikten sonra son yıllarda yoğun bir inceleme altına alındı.

Pegasus Nasıl Bulaşıyor?

Pegasus genellikle metin mesajlarıyla (SMS) gönderilenler gibi, kurbanların etkileşimi gerektirmeyen “sıfır tıklama” açıkları aracılığıyla yükleniyor. Açıklar gizlice bir hedefin iPhone veya Android cihazını jailbreak veya root yaptıktan sonra, Pegasus hemen cihazın sistem kaynakları arasında dolşamay başlıyor. Yazılım arama geçmişlerini, kısa mesajları, takvim girişlerini ve kişileri kopyalıyor. Yakındaki etkinlikleri gizlice dinlemek için güvenliği ihlal edilmiş telefonların kameralarını ve mikrofonlarını etkinleştirebiliyor. Ayrıca hedefin hareketlerini izleyip ve uçtan uca şifreli sohbet uygulamalarından mesajlar da çalabiliyor.

iOS 14.6 Yüklü iPhone 12 Hacklenebiliyor

17 haber kuruluşu tarafından ortaklaşa yapılan araştırmaya göre Pegasus, NSO’nun güçlü casus yazılımının kullanılması için gerekli olduğunu söylediği kriterleri karşılamayan kişilere ait 37 telefona bulaştırıldı. Washington Post’a göre kurbanlar arasında gazeteciler, insan hakları aktivistleri, şirket yöneticileri ve öldürülen Suudi gazeteci Cemal Kaşıkçı’ya yakın iki kadın vardı. Uluslararası Af Örgütü ve Toronto Üniversitesi Vatandaş Laboratuvarı’ndan yapılan teknik analiz, söz konusu cihazların hacklendiğini doğruladı.

Uluslararası Af Örgütü araştırmacıları, “Bu raporda ve eklerinde ayrıntılı olarak açıklanan Pegasus saldırıları 2014’ten Temmuz 2021’e kadardır” diye yazdı. “Bunlara, hedefle herhangi bir etkileşim gerektirmeyen sözde ‘sıfır tıklama’ saldırıları da dahildir. Sıfır tıklama saldırıları Mayıs 2018’den beri gözlemlendi ve halen daha devam ediyor. Son zamanlarda, Temmuz 2021’de iOS 14.6 çalıştıran tamamen yamalı bir iPhone 12’ye saldırmak için birden fazla sıfır gün açığından yararlanan başarılı bir “sıfır tıklama” saldırısı gözlemlendi.”

Etkilenen 37 cihazın tamamı 50.000’den fazla telefon numarası listesine dahil edildi. Numaraları kimin koyduğu, neden böyle yaptığı ve telefonlardan kaçının gerçekten hedef alındığı veya gözetlendiği bilinmiyor. Bununla birlikte 37 telefonun adli analizi, genellikle listedeki bir numaranın, özellikle de zaman damgalarına bakıldığında bazı durumlarda birkaç saniye gibi kısa bir sürede başlatılan izleme arasında sıkı bir ilişkisi olduğunu gösteriyor.

Uluslararası Af Örgütü ve Paris merkezli, kâr amacı gütmeyen Yasak Hikayeler adlı bir gazetecilik kuruluşu, listeye erişebildi ve daha fazla araştırma ve analiz yapmaya devam eden haber kuruluşlarıyla paylaştı.

Muhabirler, sayıları listede yer alan 50’den fazla ülkede 1000’den fazla kişiyi tespit etti. Kurbanlar arasında Arap kraliyet ailesi üyeleri, en az 65 şirket yöneticisi, 85 insan hakları aktivisti, 189 gazeteci ve kabine bakanları, diplomatlar, askeri ve güvenlik görevlileri dahil 600’den fazla politikacı ve hükümet yetkilisi vardı. Listede birkaç devlet başkanı ve başbakanın numaraları da yer aldı. Bu arada The Guardian, sızdırılan listede Meksika’daki 15.000 politikacı, gazeteci, yargıç, aktivist ve öğretmenin yer aldığını söyledi.

Kimler Hedeflendi?

Detaylı olarak burada yüzlerce gazeteci, aktivist, akademisyen, avukat ve hatta dünya liderinin hedeflendiği görünmekte. Listedeki gazeteciler CNN, Associated Press, Voice of America, The New York Times, The Wall Street Journal, Bloomberg News, Fransa’da Le Monde, Londra’da Financial Times ve Katar’da Al Jazeera gibi önde gelen haber kuruluşlarında çalışmış.

Washington Post, “37 akıllı telefonun hedeflenmesi, NSO’nun Pegasus casus yazılımını lisanslamak için belirtilen amaçla çelişiyor gibi görünüyor” dedi. “Bu akıllı telefonlardan elde edilen ve burada ilk kez ortaya çıkan kanıtlar, İsrailli şirketin müvekkillerini insan hakları ihlalleri konusunda polise verme taahhüdünü sorguluyor.”

NSO’nun Açıklaması

NSO yetkilileri araştırmayı sert bir şekilde reddediyor. Şirket, açıklamada şunları yazdı:

Forbidden Stories’in raporu, kaynakların güvenilirliği ve çıkarları hakkında ciddi şüpheler uyandıran yanlış varsayımlar ve doğrulanmamış teorilerle doludur. Görünen o ki, “kimliği belirsiz kaynaklar” hiçbir olgusal dayanağı olmayan ve gerçeklikten uzak bilgiler vermişler.

İddialarını kontrol ettikten sonra, raporlarında yer alan asılsız iddiaları kesinlikle reddediyoruz. Kaynakları onlara, iddialarının çoğu için destekleyici belgelerin eksikliğinden de anlaşılacağı gibi, hiçbir olgusal temeli olmayan bilgiler sağlamıştır. Aslında bu iddialar o kadar çirkin ve gerçeklerden uzak ki NSO bir karalama davası açmayı düşünüyor.

NSO Group, isimsiz kaynaklar tarafından Yasak Hikayeler’e yönelik iddiaların, Pegasus veya diğer NSO ürünlerinin müşterilerinin hedefleri listesinde hiçbir ilgisi olmayan HLR Lookup hizmetleri gibi erişilebilir ve açık temel bilgilerden elde edilen verilerin yanıltıcı yorumlarına dayandığına inanmak için iyi bir nedene sahiptir. Bu tür hizmetler herkese, her yerde ve her zaman açıktır ve çeşitli amaçlar için devlet kurumları ve dünya çapındaki özel şirketler tarafından yaygın olarak kullanılmaktadır.

Verilerin sunucularımızdan sızdırıldığı iddiaları tamamen yalan ve gülünçtür, çünkü bu tür veriler hiçbir sunucumuzda mevcut değildir.

Apple Açıklaması

Apple yetkilileri kendi açıklamasında şunları yazdı:

Apple, gazetecilere, insan hakları aktivistlerine ve dünyayı daha iyi bir yer haline getirmeye çalışan diğer kişilere yönelik siber saldırıları kesin olarak kınıyor. Apple, on yılı aşkın bir süredir güvenlik inovasyonunda sektöre öncülük ediyor ve sonuç olarak güvenlik araştırmacıları iPhone’un piyasadaki en güvenli tüketici mobil cihazı olduğu konusunda hemfikir. Açıklananlar gibi saldırılar oldukça karmaşıktır, geliştirilmesi milyonlarca dolara mal olur, genellikle kısa raf ömrüne sahiptir ve belirli kişileri hedef almak için kullanılır. Bu, kullanıcılarımızın ezici çoğunluğu için bir tehdit olmadığı anlamına gelse de, tüm müşterilerimizi savunmak için yorulmadan çalışmaya devam ediyoruz ve sürekli olarak cihazları ve verileri için yeni korumalar ekliyoruz.

NSO’nun İlk Vukuatı Değil

Bu, NSO’nun Pegasus casus yazılımının gazetecileri, muhalifleri ve suç veya terörle açık bir bağları olmayan diğer kişileri hedef aldığı tespit edilip ilk kez uluslararası eleştiriye maruz kaldığı bir durum değil. NSO casus yazılımı, 2016 yılında Citizen Lab ve güvenlik şirketi Lookout’un Birleşik Arap Emirlikleri’ndeki bir siyasi muhalifi hedef aldığını tespit etmesiyle gün yüzüne çıkmıştı.

O sırada araştırmacılar, BAE muhalifi Ahmed Mansoor’a gönderilen kısa mesajların, cihazına Pegasus’u yüklemek için üç iPhone sıfırıncı gün güvenlik açığından yararlandığını belirledi. Mansoor, mesajları, bağlantılı web sayfalarının iPhone’unu jailbreak yapacak ve Pegasus casus yazılımını kuracak bir saldırı zincirine yol açtığını belirleyen Citizen Lab araştırmacılarına iletti.

Sekiz ay sonra Lookout ve Google’dan araştırmacılar Android için bir Pegasus sürümü tespit etti.

2019’da, Google’ın Project Zero açık araştırma ekibi, NSO’nun tamamen yama uygulanmış Android cihazlar üzerinde tam denetim sağlayan sıfırıncı gün güvenlik açıklarından yararlandığını buldu. Günler sonra Uluslararası Af Örgütü ve Citizen Lab, önde gelen iki insan hakları aktivistinin cep telefonlarının Pegasus tarafından defalarca hedef alındığını açıkladı. Aynı ay, Facebook, WhatsApp kullanıcılarının telefonlarını tehlikeye atmak için tıklamasız açıklar kullanan saldırılar nedeniyle NSO’ya dava açtı.

Geçen Aralık ayında Citizen Lab, NSO tarafından geliştirilen tıklamasız bir saldırının, Apple’ın iMessage’ındaki sıfır gün güvenlik açığından yararlanarak 36 gazeteciyi hedef aldığını söyledi.

NSO ve benzeri firmaların sattığı casus yazılımlar son derece karmaşık, geliştirmesi maliyetli ve satın alınması daha da pahalıdır. Akıllı telefon kullanıcılarının, zengin bir hükümet veya kolluk kuvvetinin hedefinde olmadıkça, bu saldırılardan birinin alıcı tarafında olmaları pek olası değil. Bu ikinci kategorideki kişiler, cihazlarının güvenliğini nasıl sağlayacakları konusunda güvenlik uzmanlarından rehberlik almalıdır.