Ödüllü Rus gazeteci Galina Timchenko’ya ait bir iPhone’da Pegasus casus yazılımının ortaya çıkmasıyla ilgili bu hafta yayınlanan bir rapor, hükümet ve kolluk kuvvetlerinin bu iğrenç gözetleme aracını hedef cihazlara ulaştırmak zorunda kaldıkları sayısız yolu bir kez daha vurguladı.
Timchenko, sürgündeki bir Rus araştırmacı gazeteci ve merkezi Letonya’nın Riga kentinde bulunan Rusça ve İngilizce haber sitesi Meduza’nın kurucu ortağıdır. 22 Haziran’da Apple, Timchenko’ya cihazının devlet destekli bir saldırının hedefi olabileceği konusunda onu uyaran bir tehdit bildirimi gönderdi. Apple bu yılın başlarında, şirketin yaptıkları iş nedeniyle bireysel olarak hedef alındığını tespit ettiği kullanıcılara yardımcı olmak için özel olarak tasarlanmış casus yazılım tehdidi bildirimlerini kullanıma sundu.
Casusluk için hedef alındı
Meduza’nın teknik direktörü, uyarının neyle ilgili olabileceğini anlamak için Toronto Üniversitesi Vatandaş Laboratuvarı’na ulaştı. Yıllar boyunca dijital casusluk olaylarına ilişkin soruşturma yürütme becerileriyle ün kazanan Citizen Lab’deki araştırmacılar, Timchenko’nun telefonundaki adli tıp bulgularını analiz ettiler ve birisinin Şubat ayında Pegasus’u telefona yüklediğini hemen belirlediler.
Dijital çağda insan haklarını savunan kar amacı gütmeyen bir kuruluş olan Citizen Lab ve Access Now, olayın araştırılmasında işbirliği yaptı ve bu hafta konuyla ilgili iki ayrı rapor yayınladı.
Citizen Lab, “Enfeksiyonun ilk kullanımdan sonraki günlerden haftalara kadar sürmüş olabileceğine inanıyoruz” dedi. “Enfeksiyon, sıfır tıklamayla gerçekleştirildi ve adli tıp izleri, bunun Apple’ın HomeKit ve iMessage’ını hedef alan PWNYOURHOME istismarı yoluyla gerçekleştirildiğine dair orta düzeyde bir güvenle değerlendirme yapmamıza yol açtı.” Citizen Lab veya Access Now, saldırıyı belirli bir ulus devlet aktörüne bağlamadı.
PWNYOURHOME, Citizen Lab’in daha önce NSO Group müşterilerinin 2022’de Pegasus’u hedef iPhone’lara bırakmak için kullandığını belirlediği üç iOS 15 ve iOS 16 sıfır tıklama istismarından biridir. İki aşamalı sıfır tıklama istismarı, öncelikle iPhone’larda yerleşik olarak bulunan HomeKit akıllı ev işlevini hedef alıyor ve ardından iMessage sürecini kullanarak cihaz korumalarını esasen ihlal ediyor ve Pegasus’un cihaz üzerinde teslimat yapmasını sağlıyor.
Citizen Lab’in ortaya çıkardığı diğer iki istismar şunlardı: iPhone’un Bul özelliğini ve iMessage işlevselliğini hedef alan iki aşamalı bir istismar olan FINDMYPWN; ve iPhone’un Bul özelliğini içeren başka bir istismar olan LatentImage.
iOS Açıkları ve Güvenlik Açıkları Fırtınası
Bu istismarların sayısı giderek artan iPhone kullanıcılarını hedef alıyor. Bu ayın başlarında Citizen Lab, Pegasus’u sunmak için iOS 16.6’daki (en son sürüm) iki tıklamasız sıfır gün güvenlik açığını bir araya getiren bir tehdit aktörü bulduğunu bildirdi. Bu açığı Blastpass olarak takip eden Citizen Lab, bunun herhangi bir kullanıcı etkileşimi olmadan Pegasus teslimatına olanak sağladığını açıkladı ve herkesi cihazlarını derhal güncellemeye çağırdı.
Son aylarda başkaları iOS’ta, Apple’ın farkına varıp düzeltmeden önce saldırganların aktif olarak yararlandığı başka güvenlik açıkları keşfetti.
Örneğin, bu yılın başlarında Kaspersky, iOS kullanıcılarına yönelik çok yıllı bir casusluk kampanyasını ortaya çıkardı; bu kampanyada, muhtemelen bir ulus devlet tehdit aktörü, hedef cihazlara sızmak için Apple’ın mobil işletim sistemindeki üçe kadar sıfır günden yararlandı. Rusya’nın istihbarat teşkilatı Rusya Federasyonu Federal Güvenlik Servisi (FSB), hiçbir delil olmaksızın saldırılardan ABD Ulusal Güvenlik Teşkilatı’nı (NSA) sorumlu tuttu ve saldırının ülkedeki binlerce diplomat ve diğer bireyleri etkilediğini iddia etti.
Şu ana kadar NSO Group müşterilerinden herhangi birinin, Kaspersky’nin Pegasus’u teslim ettiğini bildirdiği sıfır gün kusurlarından yararlandığına dair bir rapor bulunmuyor. Ancak genel olarak araştırmacıların iOS ortamında keşfettiği çok sayıda açık ve güvenlik açığı, saldırganların, özellikle de üç harfli kısaltmalara sahip olanların, hedeflenen cihazlara casus yazılım almak için birden fazla yola sahip olduğunu gösteriyor.
‘İstedikleri Herşeyi Aldılar’
Çarşamba günü olayla ilgili bir rapor da yayınlayan Meduza, Timchenko’nun iPhone’undaki casus yazılımın muhtemelen failin cihazındaki her şeye erişmesine izin verdiğini söyledi. Bunlar arasında kurumsal şifreler, yazışmalar, Meduza personelinin isimleri, banka hesap bilgileri ve en önemlisi Rusya’da yaşayan ve haber sitesiyle işbirliği yapan kişilerin kimlikleri yer alıyordu. Raporda Meduza’nın genel yayın yönetmeni Ivan Kolpakov’un “Her şeyi aldılar” dediği aktarıldı. “İstedikleri her şey.”
Pegasus, gözetim ve siber istihbarat araçları geliştirip hükümete, istihbarata ve kolluk kuvvetlerine satan İsrailli bir firma olan NSO Group’un mobil cihazlara yönelik tartışmalı bir gözetim aracıdır. Casus yazılım, müşterilerin bir iPhone, Android akıllı telefon veya başka bir mobil cihazdan istedikleri hemen hemen her şeye erişmesine ve bunları çıkarmasına olanak tanır. Pegasus, hedef cihaza kurulduğunda mesajları, e-postaları, medya dosyalarını, şifreleri ve ayrıntılı konum bilgilerini yakalayıp iletebiliyor. Ayrıca antivirüs ve diğer tehdit algılama araçları tarafından tespit edilmekten kaçınmak için çeşitli karmaşık teknikler kullanır.
NSO Grubu, teknolojiyi yalnızca meşru suçla mücadele ve gözetim amacıyla yetkili kurumlara sattığını ileri sürdü.
Ancak eleştirmenler, aracı ve NSO grubunu, özellikle insan hakları uygulamalarının zayıf olduğu ülkelerde hükümetlerin gazetecileri, muhalifleri, hak aktivistlerini ve siyasi muhalifleri gözetlemelerine ve susturmaya çalışmasına olanak tanıdığı için ağır bir şekilde eleştirdiler. 2021’de, çeşitli NSO Grubu müşterilerinin gözetim için seçtiği 50.000’den fazla telefon numarasından oluşan sızdırılmış bir veritabanı, Hindistan, Macaristan ve Meksika gibi ülkelerden yaklaşık 180 gazeteciyi listeledi. Veritabanında ayrıca çok sayıda insan hakları aktivistine, avukata, sendika liderine, doktora, politikacıya ve diplomata ait telefon numaraları da yer alıyordu.
Meduza, Citizen Lab’den kıdemli bir araştırmacının, NSO müşterilerinin “Pegasus’a erişim için genellikle on milyonlarca dolar ve muhtemelen daha fazlasını harcadığını” söylediğini aktardı.