Ödüllü Rus gazeteci Galina Timchenko’ya ait bir iPhone’da Pegasus casus yazılımının ortaya çıkmasıyla ilgili bu hafta yayınlanan bir rapor, hükümet ve kolluk kuvvetlerinin bu iğrenç gözetleme aracını hedef cihazlara ulaştırmak zorunda kaldıkları sayısız yolu bir kez daha vurguladı.
Timchenko, sürgündeki bir Rus araştırmacı gazeteci ve merkezi Letonya’nın Riga kentinde bulunan Rusça ve İngilizce haber sitesi Meduza’nın kurucu ortağıdır. 22 Haziran’da Apple Timchenko’ya bir tehdit bildirimi Bu onu cihazının devlet destekli bir saldırının hedefi olabileceği konusunda uyardı. Apple bu yılın başlarında, şirketin yaptıkları iş nedeniyle bireysel olarak hedef alındığını tespit ettiği kullanıcılara yardımcı olmak için özel olarak tasarlanmış casus yazılım tehdidi bildirimlerini kullanıma sundu.
Casusluk için hedef alındı
Meduza’nın teknik direktörü, uyarının neyle ilgili olabileceğini anlamak için Toronto Üniversitesi Vatandaş Laboratuvarı’na ulaştı. Yıllar boyunca dijital casusluk olaylarına ilişkin soruşturma yürütme becerileriyle ün kazanan Citizen Lab’deki araştırmacılar, Timchenko’nun telefonundaki adli tıp bulgularını analiz ettiler ve birisinin Şubat ayında Pegasus’u telefona yüklediğini hemen belirlediler.
Vatandaş Laboratuvarı Ve Şimdi ErişinDijital çağda insan haklarını savunan kar amacı gütmeyen bir kuruluş, olayın araştırılmasında işbirliği yaptı ve bu hafta olayla ilgili iki ayrı rapor yayınladı.
Citizen Lab, “Enfeksiyonun ilk kullanımdan sonraki günlerden haftalara kadar sürmüş olabileceğine inanıyoruz” dedi. “Bulaşma sıfır tıklamayla gerçekleştirilmiştir ve adli tıp izleri, bunun bir güvenlik açığı aracılığıyla gerçekleştiğini orta düzeyde bir güvenle değerlendirmemize yol açmaktadır. PWNYOURHOME Apple’ın HomeKit ve iMessage’ını hedef alan istismarlar.” Ne Citizen Lab ne de Access Now, saldırıyı belirli bir ulus devlet aktörüne atfetmedi.
PWNYOURHOME, Citizen Lab’in daha önce NSO Group müşterilerinin 2022’de Pegasus’u hedef iPhone’lara bırakmak için kullandığını belirlediği üç iOS 15 ve iOS 16 sıfır tıklama istismarından biridir. İki aşamalı sıfır tıklama istismarı, öncelikle iPhone’larda yerleşik olarak bulunan HomeKit akıllı ev işlevini hedef alıyor ve ardından iMessage sürecini kullanarak cihaz korumalarını esasen ihlal ediyor ve Pegasus’un cihaz üzerinde teslimat yapmasını sağlıyor.
Citizen Lab’in ortaya çıkardığı diğer iki istismar şunlardı: iPhone’un Bul özelliğini ve iMessage işlevselliğini hedef alan iki aşamalı bir istismar olan FINDMYPWN; ve iPhone’un Bul özelliğini içeren başka bir istismar olan LatentImage.
iOS Açıkları ve Güvenlik Açıkları Fırtınası
Bu istismarların sayısı giderek artan iPhone kullanıcılarını hedef alıyor. Bu ayın başlarında Citizen Lab, birbirine zincirlenen bir tehdit aktörü bulduğunu bildirdi iOS 16.6’da tıklama gerektirmeyen iki sıfır gün güvenlik açığı – en son sürüm – Pegasus’u sunmak için. Bu açığı Blastpass olarak takip eden Citizen Lab, bunun herhangi bir kullanıcı etkileşimi olmadan Pegasus teslimatına olanak sağladığını açıkladı ve herkesi cihazlarını derhal güncellemeye çağırdı.
Son aylarda başkaları iOS’ta, Apple’ın farkına varıp düzeltmeden önce saldırganların aktif olarak yararlandığı başka güvenlik açıkları keşfetti.
Örneğin bu yılın başlarında Kaspersky, iOS kullanıcılarına yönelik çok yıllı bir casusluk kampanyasını ortaya çıkardı. Bu kampanyada, muhtemelen bir ulus-devlet tehdit aktörü, hedef cihazlara sızmak için Apple’ın mobil işletim sistemindeki üçe kadar sıfır günden yararlandı. Rusya’nın istihbarat teşkilatı Rusya Federasyonu Federal Güvenlik Servisi (FSB), hiçbir delil olmaksızın saldırılardan ABD Ulusal Güvenlik Teşkilatı’nı (NSA) sorumlu tuttu ve saldırının ülkedeki binlerce diplomat ve diğer bireyleri etkilediğini iddia etti.
Şu ana kadar NSO Group müşterilerinden herhangi birinin, Kaspersky’nin Pegasus’u teslim ettiğini bildirdiği sıfır gün kusurlarından yararlandığına dair bir rapor bulunmuyor. Ancak genel olarak araştırmacıların iOS ortamında keşfettiği çok sayıda açık ve güvenlik açığı, saldırganların, özellikle de üç harfli kısaltmalara sahip olanların, hedeflenen cihazlara casus yazılım almak için birden fazla yola sahip olduğunu gösteriyor.
‘İstedikleri Herşeyi Aldılar’
Çarşamba günü olayla ilgili bir rapor da yayınlayan Meduza, Timchenko’nun iPhone’undaki casus yazılımın muhtemelen failin cihazındaki her şeye erişmesine izin verdiğini söyledi. Bunlar arasında kurumsal şifreler, yazışmalar, Meduza çalışanlarının isimleri, banka hesap bilgileri ve en önemlisi Rusya’da yaşayan ve haber sitesiyle işbirliği yapan kişilerin kimlikleri yer alıyordu. Raporda Meduza’nın genel yayın yönetmeni Ivan Kolpakov’un “Her şeyi aldılar” dediği aktarıldı. “İstedikleri her şey.”
Pegasus, gözetim ve siber istihbarat araçları geliştirip hükümete, istihbarata ve kolluk kuvvetlerine satan İsrailli bir firma olan NSO Group’un mobil cihazlara yönelik tartışmalı bir gözetim aracıdır. Casus yazılım, müşterilerin bir iPhone, Android akıllı telefon veya başka bir mobil cihazdan istedikleri hemen hemen her şeye erişmesine ve bunları çıkarmasına olanak tanır. Pegasus, hedef cihaza kurulduğunda mesajları, e-postaları, medya dosyalarını, şifreleri ve ayrıntılı konum bilgilerini yakalayıp iletebiliyor. Ayrıca antivirüs ve diğer tehdit algılama araçları tarafından tespit edilmekten kaçınmak için çeşitli karmaşık teknikler kullanır.
NSO Grubu, teknolojiyi yalnızca meşru suçla mücadele ve gözetim amacıyla yetkili kurumlara sattığını ileri sürdü.
Ancak eleştirmenler, aracı ve NSO grubunu, özellikle insan hakları uygulamalarının zayıf olduğu ülkelerde hükümetlerin gazetecileri, muhalifleri, hak aktivistlerini ve siyasi muhalifleri gözetlemelerine ve susturmaya çalışmasına olanak tanıdığı için ağır bir şekilde eleştirdiler. 2021 yılında bir 50.000’den fazla telefon numarasının yer aldığı veritabanı sızdırıldı Çeşitli NSO Grubu müşterilerinin gözetim için seçtiği raporda Hindistan, Macaristan ve Meksika gibi ülkelerden yaklaşık 180 gazeteci listelendi. Veritabanı ayrıca çok sayıda insan hakları aktivistine, avukata, sendika liderine, doktora, politikacıya ve diplomata ait telefon numaralarını da içeriyordu.
Meduza, Citizen Lab’den kıdemli bir araştırmacının, NSO müşterilerinin “Pegasus’a erişim için genellikle on milyonlarca dolar ve muhtemelen daha fazlasını harcadığını” söylediğini aktardı.
