Casus Yazılımları Soruşturan Avrupa Parlamentosu Üyesi Pegasus ile Hacklendi Yazılım

Casus Yazılımları Soruşturan Avrupa Parlamentosu Üyesi Pegasus ile Hacklendi

Citizen Lab'ın yeni bir raporu, eski Avrupa Parlamentosu Üyesi Stelios Kouloglou'nun, bloktaki bu tür ticari gözetim araçlarının kötüye kullanımını ar...

Citizen Lab'ın yeni bir raporu, eski Avrupa Parlamentosu Üyesi Stelios Kouloglou'nun, bloktaki bu tür ticari gözetim araçlarının kötüye kullanımını araştırmakla görevli bir komitede görev yaparken, mobil cihazının kötü şöhretli Pegasus casus yazılımıyla defalarca saldırıya uğradığını ortaya çıkardı.

Citizen Lab araştırmacıları John Scott-Railton, Bill Marczak, Bahr Abdul Razzak, Kate Pundyk, Siena Anstis ve Ron Deibert, "Cihazın adli analizi sonucunda, saldırganların gizli belgelere ve komite görüşmelerine erişmiş olabileceğini bulduk." dedi.

Enfeksiyonlar şu anda belirli bir hükümete atfedilmedi ve bu faaliyetin arkasında Yunan hükümetinin olduğuna dair bir kanıt da yok. Ancak Kanada disiplinlerarası araştırma laboratuvarı, ilk enfeksiyon ile Avrupa'da Rusça ve Belarusça konuşan sürgündeki gazetecileri ve aktivistleri hedef alan önceki kampanya arasında bir örtüşme tespit ettiğini belirtti.

Citizen Lab, bunun, birden fazla Avrupa ülkesinde casusluk yapma yetkisine sahip bir Pegasus müşterisinin bu çabadan büyük olasılıkla sorumlu olduğunu gösterdiğini ekledi.

Kouloglou, 24 Mart 2022 ile 18 Temmuz 2023 tarihleri ​​arasında Avrupa Parlamentosu'nun "Pegasus ve eşdeğer gözetleme casus yazılımlarının kullanımını araştırmaya yönelik Soruşturma Komitesi"nin bir üyesiydi. PEGA Komitesi, AB kapsamındaki ticari casus yazılım tekliflerinin kötüye kullanıldığı iddialarını araştırmak için 10 Mart 2022'de kuruldu. Özellikle üye devletlerin ve diğer ülkelerin bu tür araçları bölgenin hak ve özgürlüklerine aykırı olarak ne ölçüde kullandıklarına ilişkin bilgi toplamaya odaklanıyor.

Citizen Lab, Mayıs 2026'da iPhone'undan toplanan eserler üzerinde yapılan adli analizde, iPhone'un 21 Ekim 2022 veya civarında ve 6 ve 7 Mart 2023 tarihlerinde Pegasus casus yazılımıyla ele geçirildiğini tespit ettiğini söyledi.

Araştırmacılar, "21.10.2022 10:16'da rauharepo888[@]gmail.com HomeKit e-posta adresi arandı. İki dakika sonra Pegasus işlemi mobil verileri kullandı." dedi. Casus yazılımı dağıtmak için Apple'ın akıllı ev yazılımındaki PWNYOURHOME kod adlı sıfır tıklamalı güvenlik açığının kullanıldığı değerlendiriliyor. Sorun Apple tarafından iOS 16.3.1'de giderildi.

Önemli Gelişmeler

Mart 2023'te gözlemlenen Pegasus faaliyetinin de aynı istismarı silah haline getirdiği söyleniyor. Her iki seferde de Kouloglou'nun cihazı iOS 15.5'i çalıştırıyordu. Telefonun daha ayrıntılı analizi, Kouloglou'nun üç kez paralı asker casus yazılımlarının hedefi olduğuna ilişkin Apple tehdit bildirimleri aldığını ortaya çıkardı: 2 Mart 2023, 29 Ağustos 2023 ve 10 Nisan 2024.

İlginç bir şekilde, Kouloglou'nun telefonu ilk kez hacklendiğinde, isteğe bağlı bir ameliyat için hastaneye kaldırılmış ve kendi telefonu Intellexa'nın Predator casus yazılımıyla ele geçirilen ve bir ay önce PEGA Komitesi önünde ifade veren Yunan araştırmacı gazeteci Thanasis Koukakis tarafından ziyaret edilmişti.

Teknik Analiz

İkinci enfeksiyonun Mart 2023'teki zamanlaması da önemlidir, çünkü bu tarih, nihai taslak hazırlama süreciyle ilgili yoğun tartışmalar ve ardından bir dizi PEGA duruşmasıyla aynı zamana denk gelmiştir. Olay, ilk PEGA Komitesi raporunun kabul edilmesinden iki ay önce meydana geldi.

Gelecekte Ne Bekleniyor?

Bu gelişme, ilk kez bir PEGA Komitesi üyesinin, komitede görev yaparken Pegasus casus yazılımının kurbanı olduğunun kamuoyuna açıklanması anlamına geliyor.

Kouloglou davası ile Avrupa'daki Rusça ve Belarusça konuşan bağımsız gazetecileri ve muhalif aktivistleri hedef alan kampanya arasındaki bağlantı, aynı e-posta adresinin "rauharepo888[@]gmail.com" kullanılmasına dayanıyor.

Citizen Lab, "Bu dönemde Pegasus enfeksiyon altyapısına ilişkin anlayışımıza göre, bu e-postaların belirli operatörlere özel olduğuna inanıyoruz" dedi. "2023'teki ikinci enfeksiyonun benzer şekilde bu operatörle mi yoksa farklı bir operatörle mi bağlantılı olduğunu söyleyemeyiz."

Sistem Güvenliği

"NSO Group'un lisanslaması hakkında bildiklerimize dayanarak, bu muhtemelen müşterinin birden fazla AB yargı bölgesinde enfeksiyonlara olanak tanıyan bir lisansa sahip olduğunu gösteriyor ve bu durum, bu davadan sorumlu olabilecek potansiyel Pegasus operatörlerinin listesini daraltıyor."

Bulgular, hükümetlerin, terörizm ve çocuklara yönelik cinsel istismar gibi ciddi suçlarla mücadele etmek için görünüşte pazarlanan casus yazılımları gazetecilerin, milletvekillerinin, muhaliflerin ve eleştirmenlerin iletişimlerini gözetlemek için nasıl kullandığına dair yeni endişeleri artırıyor.

Sonuç ve Değerlendirme

Bu gelişme, Citizen Lab'ın Rus yetkililerin Cellebrite'ın UFED adli tıp araçlarını kullanarak Cellebrite'ın araçlarını ve hizmetlerini Rusya ve Beyaz Rusya'ya sunmayı bırakacağını duyurmasından üç ay sonra, Haziran 2021'de tutuklu muhalif aktivist Andrey Pivovarov'un iPhone'una izinsiz giriş yapıldı.

Citizen Lab, "Yetkililer, Pivovarov'un cihazlarını kilit örgütler ve bağlantıların yanı sıra yüksek profilli muhalefet figürlerini aradılar" dedi. "Arama terimleri arasında Açık Rusya'yı kuran Mikhail Khodorkovsky, o zamanlar Açık Rusya'da insan hakları avukatı olan ve şu anda önde gelen bir savaş karşıtı gruba liderlik eden Anastasiya Burakova ve Açık Rusya'nın eski koordinatörü ve Pivovarov'un ortağı Tatiana Usmanova yer alıyordu."

Uzmanların Görüşleri

Burakova da dahil olmak üzere bu kişilerden bazıları daha sonra COLDRIVER olarak bilinen bir Rus bilgisayar korsanlığı grubu tarafından düzenlenen bir kimlik avı kampanyasında hedef alındı; bu da Cellebrite araçlarının kullanımının keşifleri kolaylaştırmaya ve yurtdışındaki diğer rejim muhaliflerinin daha fazla hedeflenmesine ve gözetlenmesine olanak vermiş olabileceği olasılığını artırdı.

Nisan ayında Citizen Lab, insanların konumlarını takip etmek için küresel telekomünikasyon altyapısındaki iyi bilinen zayıflıkları kötüye kullanan iki farklı, uzun süredir devam eden casusluk kampanyasını da ortaya çıkardı. Özellikle, bu saldırılar kötü amaçlı yazılım dağıtımını gerektirmiyor, bu da onları gizli ve tespit edilmesi zor hale getiriyor.

Nasıl Önlem Alınmalı?

Raporda, iki kampanyadan birinin, "cihazı gizli bir izleme işaretçisine dönüştürmek" amacıyla hedeflere kötü amaçlı gizli SMS komutları içeren özel bir tür kısa mesaj göndererek çalıştığı belirtildi. İkinci kampanya, bir kişinin cihazlarına erişim gerektirmeden nerede olduğunu takip etmek için 7 No'lu Sinyal Sistemi (SS7) ve Diameter sinyalizasyon protokollerindeki zayıflıklara dayanıyordu.

İki kampanyanın, "telekomünikasyon ekosistemi içinde gözetim girişi ve geçiş noktaları" olarak hareket eden ve "trafiğin güvenilir sinyalizasyon ara bağlantıları üzerinden hareket etmesine izin verirken aynı zamanda altyapılarının arkasına saklanan tehdit aktörlerine erişim izni veren" 019Mobile, Airtel Jersey (Sure Group'un bir parçası) ve Tango Networks U.K. adlı üç belirli telekomünikasyon sağlayıcısını kötüye kullandığı söyleniyor.

Dijital haklar örgütü, "Her iki aktör de operatör kimliklerini taklit etmek, sinyal protokollerini manipüle etmek ve savunmalardan kaçınmak ve atıfları maskelemek için trafiği belirli ara bağlantı ağ yolları üzerinden yönlendirmek için özelleştirilmiş gözetim araçlarını kullandı." dedi.

Detaylar ve Etkileri

"Bulgular, şüpheli ticari gözetim sağlayıcılarının (CSV'ler) küresel telekom ara bağlantı ekosistemini nasıl istismar ettiğini, özel operatör ağlarından nasıl yararlandığını ve yıllarca tespit edilmeden devam edebilen gizli konum izleme operasyonlarını nasıl yürüttüğünü ortaya koyuyor."

Paylaş: