2022 yazında, Yunan siyasetçi Stelios Kouloglou, iş dünyası liderleri, kolluk kuvvetleri ve siyasetçilerin hedef alındığı müdahaleci casus yazılım saldırılarını araştırıyordu. Avrupa Parlamentosu'nun kötü şöhretli Pegasus casus yazılımı ve diğer türevlerini incelemek üzere kurulan PEGA Komitesi üyesi olarak Kouloglou, casus yazılım mağdurlarıyla röportaj yapmak ve yüksek profilli davaları incelemek için seyahat etti. Ancak yeni bir adli analiz, o sonbaharda Kouloglou'un iPhone'unun, tam da komitenin mercek altına aldığı Pegasus casus yazılımıyla hacklendiğini ortaya koydu. 2015-2024 yılları arasında Avrupa Parlamentosu üyesi (MEP) olarak görev yapan deneyimli araştırmacı gazeteci Kouloglou, "Bunu beklemiyordum" diyerek şaşkınlığını dile getirdi ve cihazının bu güçlü casus yazılımla tehlikeye atıldığını öğrendiğinde önce şok olduğunu, ardından öfkelendiğini belirtti.
Kouloglou, "Pegasus'u araştıran Pegasus Komitesi üyesi olmak ve aynı anda Pegasus tarafından hacklenmek... Bu gerçekten çok pervasız bir hareketti" ifadelerini kullandı. Citizen Lab tarafından ilk kez 2016'da keşfedilen Pegasus, iOS ve Android cihazları hedef alarak mikrofon ve kameralara erişebilen, mesajları, kişi verilerini, web tarama geçmişini, fotoğrafları ve diğer kişisel bilgileri çalabilen bir kötü amaçlı yazılım enjekte ediyor. Kouloglou'un cihazının bir değil birden fazla kez hedef alındığını ortaya koyan rapor, Toronto Üniversitesi'ne bağlı Citizen Lab tarafından Cuma günü yayımlandı. Bu rapor, Avrupa siyasi çevrelerinde şok dalgaları yaratabilir. Rapor, PEGA Komitesi'nin bir üyesinin, grup içinde çalışırken Pegasus casus yazılımının kurbanı olduğu tespit edilen ilk vaka olduğunu belirtiyor.
Araştırmacılar, Kouloglou'un cihazına yönelik saldırıların arkasında hangi hükümet veya kuruluş olduğuna dair kesin kanıtlara sahip olmadıklarını, ancak saldırıyı gerçekleştirenlerin komitenin faaliyetleri ve bulguları hakkında dahili bilgilere erişmiş olabileceğini, bunun da AB parlamentosunun gizlilik gerekliliklerini ve kişilerin mahremiyetini potansiyel olarak ihlal ettiğini vurguluyor. Citizen Lab kıdemli araştırmacısı John Scott-Railton, hedef almanın birkaç yıl önce gerçekleşmiş olmasına rağmen, olayın ironisinin, casus yazılımların AB'de ve ötesinde ne kadar yaygın ve pervasız hale geldiğini gösterdiğini belirtiyor. "Avrupa'nın yasa koyucuları için açık bir casus yazılım sezonu yaşanıyor. Avrupa Parlamentosu, ulusal parlamentolar, hiç kimse hazır değil" diyor.
Detaylar ve Etkileri
Pegasus'un geliştiricisi NSO Group, bulgularla ilgili WIRED'ın yorum taleplerine yanıt vermedi. İsrail'de kurulan ve merkezi halen orada bulunan NSO'nun çoğunluk hissesi 2025'te ABD merkezli yatırımcılar tarafından satın alındı. 2022'de Pegasus ve diğer casus yazılımların kullanımına ilişkin Avrupa soruşturması, büyük ölçüde NSO Group'tan büyük bir sızıntı üzerine bir düzineden fazla medya kuruluşu ve sivil toplum örgütünün araştırma ve haberlerinden oluşan Pegasus Projesi tarafından tetiklenmişti. Veriler, Pegasus'un dünya çapındaki kullanımının boyutunu ve geniş kapsamını gösteriyor; en az 180 gazetecinin casus yazılım tarafından hedef alındığı bildiriliyor. NSO Group bu bulguları reddetmişti. Aynı dönemde Yunanistan, yerel olarak 'Yunanistan'ın Watergate'i' olarak bilinen ayrı bir casus yazılım skandalıyla sarsılmış; Intellexa tarafından oluşturulan Predator casus yazılımıyla düzinelerce önde gelen gazeteci, hükümet ve askeri yetkili hedef alınmıştı.
Teknik Analiz
Araştırmacılar o dönemde Pegasus Projesi'nin, casus yazılımların kötüye kullanımını kapsamlı bir şekilde ele almak için kamu-özel sektör işbirliğine ve uyumlu politika çabalarına duyulan ihtiyacı gösterdiğini belirtmişti. Teknolojik korumaların tek başına sorunu çözemeyeceği sonucuna varılmıştı. Citizen Lab'in PEGA Komitesi içindeki hedef almayla ilgili raporu da bunu gösteriyor. PEGA Komitesi üyesi MEP Saskia Bricmont, WIRED'a yaptığı açıklamada, "Casus yazılım kullanımı yalnızca ilgili bireylerin temel haklarını ihlal etmekle kalmıyor, bu durumda parlamenter çalışmanın ve bir bütün olarak Avrupa Parlamentosu'nun güvenliğini ve bütünlüğünü de tehdit ediyor. Bu, hukukun üstünlüğüne doğrudan bir saldırıdır" dedi.
Bu olay, AB kurumlarının siber güvenlik açıklarını ve casus yazılımların demokratik süreçlere yönelttiği tehdidi bir kez daha gözler önüne seriyor. PEGA Komitesi gibi hassas bir yapının içinden bir üyenin hedef alınması, sadece bireysel bir gizlilik ihlali değil, aynı zamanda kurumsal güvenliğe yönelik ciddi bir saldırıdır. Avrupa Birliği'nin, siber casusluğa karşı daha sağlam önlemler alması ve özellikle yasa koyucuların cihaz güvenliğini artırması gerekiyor. Kouloglou'un yaşadıkları, teknoloji ve politika dünyasının kesiştiği noktada, siber güvenliğin artık bir lüks değil, bir zorunluluk olduğunu hatırlatıyor.
Kaynak: wired.com