Geçtiğimiz birkaç yılda İsrail siber istihbarat firması NSO Group tarafından geliştirilen kötü şöhretli Pegasus casus yazılımı hakkında bir dizi endişe verici rapora tanık olduk. Casus yazılım, özellikle Amazon’un kurucusu Jeff Bezos gibi yüksek profilli hedeflerin dahil olduğu çok sayıda skandalın merkezinde yer aldı. Böyle bir olayda, Suudi Arabistanlı bir prensin uzak bilgisayar korsanlarıyla işbirliği yaparak Bezos’un telefonuna virüs bulaştırmak için Pegasus’u kullandığı iddia edildi. Saldırganlar daha sonra Bezos’un şu anki kız arkadaşı Lauren Sanchez ile olan ilişkisine ilişkin hassas kişisel bilgiler de dahil olmak üzere özel iletişimlerini izleyebildi. Bu yüksek profilli dava buzdağının sadece görünen kısmıydı ve Pegasus’un hem kamuya mal olmuş kişileri hem de sıradan vatandaşları etkileyen çok sayıda diğer mahremiyet ihlallerinde kullanıldığı kısa sürede anlaşıldı.
Mobil güvenlik araştırma şirketi iVerify tarafından yakın zamanda yapılan bir araştırma, Pegasus casus yazılımının erişim alanının başlangıçta şüphelenildiğinden çok daha kapsamlı ve rahatsız edici olduğunu ortaya koyuyor. Araştırmaya göre araştırmacılar Pegasus’un iPhone’ları ve Android cihazları hedef alan ve yalnızca ünlüleri, politikacıları veya aktivistleri değil aynı zamanda sıradan bireyleri de etkileyen beş yeni çeşidini tespit etti. Araştırma giderek artan bir endişenin altını çiziyor: Bu tür kötü amaçlı yazılımlar artık yalnızca üst düzey gözetim için bir araç değil, aynı zamanda sosyal statüleri veya şöhretleri ne olursa olsun, sıradan kullanıcılar için yaygın bir tehdit haline geliyor.
iVerify’ın Bulguları: Şok Edici Bir Keşif
iVerify’ın Mobil Tehdit Avcılığı özelliği aracılığıyla toplanan verilere dayanan araştırması, bu yeni Pegasus türlerinin geniş çapta dolaştığını gösteriyor. Mobil Tehdit Avcılığı aracı, Mayıs ayındaki lansmanından bu yana, mobil cihazlara sızmak ve fotoğraflar, videolar, çağrı kayıtları, mesajlar ve hatta konum bilgileri gibi son derece hassas kişisel verileri çalmak üzere tasarlanmış kötü amaçlı yazılımları tespit etmek için kullanılıyor. Bulgulara göre Pegasus, varlığına dair farkındalığın artmasına ve genel olarak casus yazılımlara yönelik artan incelemelere rağmen artık her zamankinden daha yaygın.
iVerify’ın araştırmasından elde edilen en endişe verici bulgulardan biri, kötü amaçlı yazılımdan koruma yazılımı ve güvenlik çözümlerinin varlığına rağmen, bu yeni Pegasus varyantlarının ankesörlü telefonlarda tespit edilmeden varlığını sürdürmesidir. Bu, geleneksel güvenlik araçlarının Pegasus gibi karmaşık casus yazılımları tespit etme ve etkisiz hale getirme becerisinde ciddi bir boşluğa işaret ediyor. Kötü amaçlı yazılım, telefonlara sessizce sızıyor, kişisel verileri topluyor ve çoğu geleneksel kötü amaçlı yazılımdan koruma çözümünün tespitinden kaçıyor.
Pegasus’un Evrimi: Kolluk Kuvvetlerinden Küresel Gözetim Silahına
Başlangıçta NSO Group, Pegasus casus yazılımını kolluk kuvvetleri ve istihbarat teşkilatları için suç faaliyetlerini ve teröristleri izlemeyi amaçlayan bir araç olarak geliştirdi. 2018 yılına kadar dünya çapındaki devlet kurumları için meşru bir gözetim çözümü olarak pazarlanıyordu. Ancak ilerleyen yıllarda şirketin iş modeli değişti. NSO, casus yazılımları özel müşterilere sunmaya başladı ve bu da yaygın suiistimallere ve gazetecilerin, aktivistlerin ve siyasi figürlerin hedef alınmasına yol açtı.
İş stratejisindeki değişim, crackli versiyonların artan kullanılabilirliğiyle birleştiğinde Pegasus’u küresel bir gözetleme silahına dönüştürdü. Casus yazılım artık çeşitli karanlık web platformlarında mevcuttur ve hatta bazı durumlarda üçüncü taraf web siteleri, özellikle de yazılımın bazen değiştirilmiş veya kırılmış formlarda sunulduğu Çin’de barındırılanlar aracılığıyla dağıtılmaktadır. Bu sürümler artık yetkisiz kişiler ve gruplar tarafından kurumsal casusluk, şantaj ve hatta siyasi gözetim dahil olmak üzere çeşitli yasa dışı amaçlarla telefonlara sızmak için kullanılıyor.
Casus Yazılımların Yasal ve Etik Sonuçları
Birinin kişisel cihazına rızası olmadan sızmak için casus yazılım kullanılması dünyanın çoğu yerinde yasa dışıdır ve haklı olarak da öyledir. Yetkisiz gözetim, özellikle de özel bilgilere erişim söz konusu olduğunda, gizlilik haklarının ciddi bir ihlali anlamına gelir. Hedef ister özel bir vatandaş, ister kamuya mal olmuş bir kişi olsun, bir kişiyi bilgisi veya rızası olmadan gözetlemek neredeyse tüm yargı bölgelerinde suçtur. Pegasus gibi araçların erişilebilirliğinin artması, kişisel özgürlükler, dijital güvenlik ve gözetlemenin etik sınırları konusunda önemli endişelere yol açıyor.
Casus yazılım araçlarının yaygın ve büyük ölçüde düzenlenmemiş kullanılabilirliği göz önüne alındığında, bunların kullanımını düzenleyen daha katı uluslararası düzenlemelere yönelik artan bir talep vardır. Dünyanın dört bir yanındaki hükümetler, dijital casusluk ve yetkisiz gözetim sorununu nasıl çözecekleri konusunda boğuşuyor. Bazı ülkeler vatandaşlarını casus yazılımlardan korumak için yasal önlemler almış olsa da, teknolojik ilerlemenin hızı düzenleme çabalarını geride bırakarak milyonlarca insanı bu tür saldırılara karşı savunmasız bırakıyor.
iVerify’ın Devam Eden Soruşturması
Şu an itibariyle iVerify, Pegasus’un bu yeni varyantlarının piyasaya sürülmesinin ardındaki kişilerin kesin kimliklerini tespit edemedi. Şirket, şu ana kadar incelenen 1000 cihazdan yedisinde kötü amaçlı yazılım tespit etti ve saldırının tüm kapsamını araştırmaya devam ediyor. iVerify, daha fazla bilgi elde edildikçe bulguları hakkında bir güncelleme yayınlamayı planlıyor. Bu arada Pegasus’un artan varlığı, mobil kullanıcılar arasında farkındalığın ve dikkatin artırılmasına yönelik acil ihtiyacın altını çiziyor.
Araştırma, hiç kimsenin, hatta en sıradan bireylerin bile, dijital gözetlemenin risklerine karşı bağışık olmadığının kesin bir hatırlatıcısıdır. Mobil cihazların günlük hayatımızın ayrılmaz bir parçası haline geldiği günümüzde Pegasus gibi giderek karmaşıklaşan tehditlere karşı dikkatli olmalı ve kişisel verilerimizin korunmasına öncelik vermeliyiz.
Sonuç: Tehdit Gerçek ve Büyüyor
iVerify’ın araştırmasından elde edilen rahatsız edici bulgular, dijital gözetimin evriminde rahatsız edici bir eğilime işaret ediyor. Bir zamanlar emniyet teşkilatlarının kullandığı bir araç, artık yaygın ve kolay erişilebilir bir gizlilik ihlali aracı haline geldi. Pegasus tehdidi büyümeye devam ederken hem bireylerin hem de kurumların mobil cihazlarının güvenliği konusunda proaktif davranmaları ve olası tehditlere karşı tetikte olmaları büyük önem taşıyor. Dijital casusluğa karşı mücadele henüz bitmedi ve Pegasus geliştikçe savunmalarımız da gelişmelidir.
Reklam