Bu kadar iyi bir ipucunuz olduğunda, gitmesine izin vermek zor. Kanadalı STK Vatandaş Laboratuvarı uzun bir rapor yayınladı Avrupa Parlamentosu’nun seçilmiş birkaç üyesi de dahil olmak üzere Katalan yetkililere karşı kullanılan casusluk tekniklerini detaylandırıyor. Citizen Lab, İsrailli şirketler tarafından pazarlanan iki casus yazılımın sorumluluğuna işaret ediyor: NSO tarafından geliştirilen tanınmış Pegasus ve daha az bilinen bir başka İsrail casus yazılımı olan Candiru. Bu iki şirkete özellikle 2021 yılında Amerikan makamları tarafından yaptırım uygulanmıştı.
Katalonya’ya haraç
Bu yeni sürüm Reuters’in ifşaatlarını yankılamaya geliyor bir hafta önce, birkaç üst düzey Avrupa Komisyonu yetkilisinin de adı açıklanmayan bir İsrail şirketi tarafından pazarlanan casus yazılımların hedefi olduğunu duyurmuştu. Aralarında şu anki Avrupa Adalet Komiseri Didier Reynders de vardı.
Citizen Lab’ın “CatalanGate” adını verdiği durumda, araştırmacılar Pegasus tarafından hedef alınan 63 kişiyi tespit etmeyi başardılar ve bunların 51’i gerçekten kötü amaçlı yazılım bulaşmıştı. Buna ek olarak, NSO’ya yakın bir İsrail şirketi tarafından geliştirilen başka bir casus yazılım olan Candiru casus yazılımı tarafından hedeflenen kişiler de vardır (iki şirket birkaç hissedar ve kurucuya sahiptir). Bu yazılım CitizenLab tarafından zaten tanımlanmıştı, ancak toplanan veriler Katalan topluluğu içinde bu yazılım için yeni hedefler belirlemeyi mümkün kıldı. Bu kampanyanın hedefleri ağırlıklı olarak Katalonya’nın bağımsızlığına bağlılıkları ortak olan milletvekilleri, siyasi aktivistler ve memurlara odaklanıyor.
Hedeflenen kimlik avı ve sıfır tıklama güvenlik açığı
Saldırganların Pegasus yazılımıyla hedeflerinin cihazlarına bulaşmak için kullandıkları teknikler arasında, bubi tuzaklı bağlantılar içeren SMS yoluyla klasik sofistike phishing tekniklerini buluyoruz. Citizen Lab, saldırganlar tarafından kullanılan birkaç kimlik avı tekniği örneğini detaylandırıyor: en az bir durumda, gerçekten hedef tarafından rezerve edilen bir uçuş için biniş kartının bağlantısını içeren sahte bir SMS gönderildi. Citizenlab, “Bu durumda hedefleme, Pegasus operatörünün yolcu adı kaydına (PNR) veya taşıyıcıdan toplanan diğer bilgilere erişimi olabileceğini gösteriyor” diye açıklıyor.
Ancak geleneksel tekniklerin başarısız olduğu durumlarda Pegasus, kullanıcı etkileşimi gerektirmeden hedefin cihazına bulaşmak için iOS işletim sistemindeki bir güvenlik açığından da yararlanabilir. Bu “sıfır tıklama” hatası, CitizenLab araştırmacıları tarafından “HOMAGE” olarak adlandırıldı ve “2019’un son aylarında” istismar edildiği görülüyor. Citizenlab, bu kusurun yalnızca 13.2 sürümünden önceki iOS sürümlerinde çalıştığına ve Apple’ın muhtemelen mobil işletim sisteminin yeni sürümlerinde düzelttiğine inanıyor.
Olağan Şüpheliler
Pegasus ve Candiru enfeksiyonları CitizenLab tarafından tespit edildiyse, STK saldırıların babalığını atfetmeden önce daha temkinli olmaya devam ediyor. Katalan yetkilileri hedef alan çeşitli saldırılarda kullanılan altyapıların benzerliğine ilişkin bulguları, yine de, bu çeşitli saldırılarda tek bir aktörün manevra yapacağını gösteriyor. CitizenLab tarafından toplanan unsurlar, bu kampanyadaki casus yazılım operatörünün kimliği hakkında bir sonuca varmasına izin vermiyor, ancak STK yine de ciddi ipuçlarının İspanyol hükümetine veya kuruluşlarından birine işaret ettiğinin altını çiziyor.
Casus yazılım kullanımına ilişkin ilk ifşalardan bu yana, bu casus aracını içeren vakalar Avrupa’da çoğaldı. Böylece Pegauss’un dahil olduğu saldırılar da Citizenlab tarafından 2020 ve 2021’de İngiltere Başbakanı’nın doğrudan maiyetinde tespit edildi. Finlandiyalı diplomatlar da bu yılın başlarında uçaklarından birkaçının Pegasus tarafından hedef alındığını açıklamıştı.
