Tek bir eylemci, yazılımının dünya çapındaki hükümet yetkililerini ve muhalifleri hacklemek için kullanıldığına dair yeni iddialara karşı Washington’da bir dizi yasal işlem ve incelemeyle karşı karşıya olan dünyanın en gelişmiş casus yazılım şirketlerinden biri olan NSO Group’a karşı gidişatı tersine çevirmeye yardımcı oldu.
Her şey iPhone’unda bir yazılım arızasıyla başladı.
NSO’nun casus yazılımındaki olağandışı bir hata, Suudi kadın hakları aktivisti Loujain al-Hathloul ve gizlilik araştırmacılarının, olaya karışan altı kişiye göre, İsrail casus yazılım üreticisinin iPhone’unun hacklenmesine yardım ettiğini gösteren bir kanıt hazinesi keşfetmesine izin verdi. Telefonundaki, casus yazılım tarafından yanlışlıkla geride bırakılan gizemli bir sahte görüntü dosyası, güvenlik araştırmacılarına bilgi verdi.
El-Hathloul’un geçen yıl telefonundaki keşif, NSO’yu savunmaya geçiren bir yasal ve hükümet eylemi fırtınasını ateşledi. Hack’in ilk olarak nasıl ortaya çıkarıldığı ilk kez burada bildiriliyor.
Suudi Arabistan’ın en önde gelen aktivistlerinden biri olan Al-Hathloul, Suudi Arabistan’da kadın sürücü yasağını sona erdirmek için bir kampanyaya öncülük etmesiyle tanınıyor. Ulusal güvenliğe zarar verme suçlamasıyla Şubat 2021’de hapishaneden serbest bırakıldı.
Hapisten çıktıktan kısa bir süre sonra aktivist, Google’dan devlet destekli bilgisayar korsanlarının Gmail hesabına girmeye çalıştıklarını bildiren bir e-posta aldı. El-Hathloul’a yakın üç kişi Reuters’e verdiği demeçte, iPhone’unun da saldırıya uğradığından korkan el-Hathloul, Kanadalı gizlilik hakları grubu Citizen Lab ile temasa geçti ve kanıt için cihazını araştırmalarını istedi.
Citizen Lab araştırmacısı Bill Marczak, iPhone kayıtlarını altı ay inceledikten sonra, eşi görülmemiş bir keşif olarak tanımladığı şeyi yaptı: Telefonuna yerleştirilen gözetim yazılımındaki bir arıza, kendisini silmek yerine kötü amaçlı görüntü dosyasının bir kopyasını bırakmıştı. hedefinin mesajlarını çalmak.
Saldırının bıraktığı bilgisayar kodunun bulgusunun, NSO’nun casusluk aracını inşa ettiğine dair doğrudan kanıt sağladığını söyledi.
Marczak, “Bu bir oyun değiştiriciydi,” dedi ve “Şirketin yakalanamayacağını düşündüğü bir şey yakaladık.”
Olayla ilgili doğrudan bilgisi olan dört kişiye göre, keşif bir bilgisayar korsanlığı planına ulaştı ve Apple’ın dünya çapındaki binlerce devlet destekli bilgisayar korsanlığı kurbanını bilgilendirmesine yol açtı.
Citizen Lab ve al-Hathloul’un bulgusu, Apple’ın Kasım 2021’de NSO’ya açtığı davanın temelini oluşturdu ve ABD yetkililerinin NSO’nun siber silahının Amerikalı diplomatları gözetlemek için kullanıldığını öğrendiği Washington’da da yankı buldu.
Son yıllarda, dünyanın dört bir yanındaki hükümetler, bir zamanlar sadece birkaç seçkin istihbarat teşkilatının yetki alanına giren dijital gözetleme türlerine izin veren telefon korsanlığı yazılımları satın aldıkça, casus yazılım endüstrisi patlayıcı bir büyüme yaşadı.
Geçen yıl boyunca, uluslararası gazetecilik işbirliği Pegasus Projesi de dahil olmak üzere gazetecilerden ve aktivistlerden gelen bir dizi ifşaat, casus yazılım endüstrisini insan hakları ihlallerine bağlayarak NSO ve meslektaşlarının daha fazla incelenmesini sağladı.
Ancak güvenlik araştırmacıları, el-Hathloul keşfinin, kullanıcıyla herhangi bir etkileşim olmaksızın cihazlara nüfuz eden ve silahın kapsamı hakkında bugüne kadarki en somut kanıtı sağlayan, güçlü ve yeni bir siber casusluk biçiminin planını sağlayan ilk kişi olduğunu söylüyor. .
Bir NSO sözcüsü yaptığı açıklamada, şirketin sattığı bilgisayar korsanlığı araçlarını kullanmadığını söyledi – “hükümet, kolluk kuvvetleri ve istihbarat teşkilatları yapıyor.” Sözcü, yazılımının el-Hathloul’u veya diğer aktivistleri hedef almak için kullanılıp kullanılmadığına ilişkin soruları yanıtlamadı.
Ancak sözcü, bu iddialarda bulunan kuruluşların “siber istihbaratın siyasi muhalifleri” olduğunu söyledi ve bazı iddiaların “sözleşme ve teknolojik olarak imkansız” olduğunu öne sürdü. Sözcü, müşteri gizlilik anlaşmalarını gerekçe göstererek ayrıntıları vermeyi reddetti.
Şirket, ayrıntılara girmeden, ürünlerinin kötüye kullanıldığı iddialarını araştırmak için yerleşik bir prosedürü olduğunu ve insan hakları sorunları nedeniyle müşterilerini kestiğini söyledi.
Planı keşfetmek
Al-Hathloul’un şüphelenmek için iyi bir nedeni vardı – ilk kez izlenmiyordu.
2019 Reuters soruşturması, 2017’de, kendisini “ulusal güvenlik tehdidi” olarak sınıflandıran ve iPhone’unu hackleyen Project Raven adlı gizli bir program kapsamında Birleşik Arap Emirlikleri adına muhalifleri izleyen ABD’li paralı askerlerden oluşan bir ekip tarafından hedef alındığını ortaya çıkardı. .
Ailesi, cihazından çalınan bilgileri kullanarak işkence gördüğünü ve sorguya çekildiğini söylediği Suudi Arabistan’da neredeyse üç yıl boyunca tutuklandı ve hapsedildi. Al-Hathloul Şubat 2021’de serbest bırakıldı ve şu anda ülkeyi terk etmesi yasaklandı.
Reuters’in NSO’nun bu önceki saldırıya karıştığına dair hiçbir kanıtı yok.
Kız kardeşi Lina al-Hathloul, Al-Hathloul’un gözetim ve hapis deneyiminin onu bu araçları kullananlara karşı kullanılabilecek kanıtlar toplamaya kararlı hale getirdiğini söyledi. “Bir şeyleri değiştirebileceğini bildiği için bu savaşa devam etme sorumluluğu olduğunu düşünüyor.”
Citizen Lab al-Hathloul’un iPhone’unda keşfedilen casus yazılım türü, “sıfır tıklama” olarak bilinir, yani kullanıcıya kötü amaçlı bir bağlantıya tıklamadan virüs bulaşabilir.
Sıfır tıklamalı kötü amaçlı yazılım genellikle bir kullanıcıya bulaştıktan sonra kendini siler ve araştırmacıları ve teknoloji şirketlerini üzerinde çalışılacak bir silah örneği olmadan bırakır. Güvenlik araştırmacıları, bunun iPhone hacklerine dair kesin kanıt toplamayı neredeyse imkansız hale getirebileceğini söylüyor.
Ama bu sefer farklıydı.
Yazılım hatası, casus yazılımın bir kopyasını al-Hathloul’un iPhone’unda bırakarak, Marczak ve ekibinin saldırının sanal bir planını ve onu kimin oluşturduğuna dair kanıt elde etmesine izin verdi.
“Burada suç mahallinden alınan mermi kovanı vardı” dedi.
Marczak ve ekibi, casus yazılımın kısmen resim dosyalarını görünmez bir metin mesajıyla al-Hathloul’a göndererek çalıştığını buldu.
Görüntü dosyaları iPhone’u kandırarak tüm belleğine erişim sağladı, güvenliği atladı ve bir kullanıcının mesajlarını çalacak casus yazılımların yüklenmesine izin verdi.
Durum hakkında doğrudan bilgisi olan üç kişiye göre, Uluslararası Af Örgütü ve Apple araştırmacıları tarafından analizi doğrulanan Marczak, Citizen Lab keşfinin siber silahın NSO tarafından inşa edildiğine dair sağlam kanıtlar sağladığını söyledi.
Marczak, al-Hathloul’un cihazında bulunan casus yazılımın, daha önce NSO tarafından kontrol edildiği belirlenen Citizen Lab sunucularıyla iletişim kurduğunu gösteren kod içerdiğini söyledi. Citizen Lab, bu yeni iPhone hackleme yöntemini “ForcedEntry” olarak adlandırdı. Araştırmacılar daha sonra örneği geçen Eylül ayında Apple’a verdi.
Elinde saldırının bir planına sahip olmak, Apple’ın kritik güvenlik açığını düzeltmesine izin verdi ve onları NSO yazılımı tarafından hedeflenen binlerce diğer iPhone kullanıcısını uyararak “devlet destekli saldırganlar” tarafından hedef alındıkları konusunda uyardı.
Apple bu adımı ilk kez atmıştı.
Reuters’in bu ayın başlarında bildirdiğine göre, Apple büyük çoğunluğun NSO’nun aracıyla hedef alındığını belirlerken, güvenlik araştırmacıları ikinci bir İsrailli satıcı QuaDream’in casus yazılımını da aynı iPhone güvenlik açığından yararlandığını keşfetti. QuaDream, tekrarlanan yorum taleplerine yanıt vermedi.
Kurbanlar, Tayland hükümetini eleştiren muhaliflerden El Salvador’daki insan hakları aktivistlerine kadar uzanıyordu.
El-Hathloul’un telefonundan elde edilen bulgulara atıfta bulunan Apple, Kasım ayında federal mahkemede NSO’ya, casus yazılım üreticisinin “Apple kullanıcılarını, Apple ürünlerini ve Apple’ı hedef almak, onlara saldırmak ve onlara zarar vermek için” tasarlanmış ürünler üreterek ABD yasalarını ihlal ettiğini iddia ederek dava açtı. Apple, dava için kanıt olarak kullanılan “teknik bilgileri” sağlamakla Citizen Lab’e kredi verdi, ancak orijinal olarak al-Hathloul’un iPhone’undan elde edildiğini açıklamadı.
NSO, araçlarının kolluk kuvvetlerine yardımcı olduğunu ve “binlerce hayat” kurtardığını söyledi. Şirket, NSO yazılımına atfedilen bazı iddiaların inandırıcı olmadığını, ancak müşterileriyle yapılan gizlilik anlaşmalarına atıfta bulunarak belirli iddiaları detaylandırmayı reddettiğini söyledi.
Apple’ın uyardığı kişiler arasında Uganda’da NSO yazılımıyla hedef alınan en az dokuz ABD Dışişleri Bakanlığı çalışanı da vardı.
Kasım ayında ABD Ticaret Bakanlığı, NSO’yu ticaret kara listesine alarak Amerikan şirketlerinin İsrail firmasının yazılım ürünlerini satmasını kısıtladı ve tedarik zincirini tehdit etti.
Ticaret Bakanlığı, eylemin NSO’nun casus yazılımının “gazetecileri, iş adamlarını, aktivistleri, akademisyenleri ve elçilik çalışanlarını” hedef almak için kullanıldığına dair kanıtlara dayandığını söyledi.
Aralık ayında Demokrat Senatör Ron Wyden ve diğer 17 milletvekili, Hazine Bakanlığı’na NSO Group’a ve otoriter hükümetlerin insan hakları ihlallerinde bulunmasına yardım ettiğini söyledikleri diğer üç yabancı gözetim şirketine yaptırım uygulaması çağrısında bulundu.
Wyden, Uganda’da ABD yetkililerinin hedef alınmasına atıfta bulunarak, Reuters’e verdiği bir röportajda, “Halk, ABD hükümetinin rakamlarının hacklendiğini gördüğünde, bu oldukça açık bir şekilde iğneyi hareket ettirdi” dedi.
Loujain’in kız kardeşi Lina al-Hathloul, NSO’ya yönelik mali darbelerin casus yazılım endüstrisini caydırabilecek tek şey olabileceğini söyledi. “Onları acıdığı yerden vurdu,” dedi.
© Thomson Reuters 2022
