Pegasus Casus Yazılımının Cihaz Üzerinde Tespiti

Pegasus Casus Yazılımının Cihaz Üzerinde Tespiti

Önceki yazıda Pegasus Casus yazılımının cihazlara bulaşmada kullandığı 3 adım belirlenmişti.

1. HLR sorgulaması ile hedefin bulunduğu ASN şebekesini belirle,

2. ASN şebekesindeki herkesin cihazına sızma gerçekleştir.

3. Hedeflenen kişi tüm cihazlar içerisinde olacağı için bu kişiyi izle, diğerlerini izleme.

Uluslararası Af Örgütü bu konuda bir Adli İnceleme Raporu hazırladı.

Rapor içerisinde Pegasus’ un ilk tespitinden itibaren enfekte olan cihazlar üzerinde bıraktıkları izler konusunda bilgiler yer almakta.

Raporda yer alan aşağıdaki paragraf ile Pegasus’ un geçmişte cihazları enfekte etmek için bir etkileşim gerektirirken Mayıs 2018 sonrasında sıfır tıklama, yani cihaz kullanıcısının herhangi bir etkileşimine ihtiyaç olmadığı anlaşılıyor.

Bu raporda ve eklerinde ayrıntıları verilen Pegasus saldırıları 2014’ten Temmuz 2021’e kadardır. Bunlara hedefle herhangi bir etkileşim gerektirmeyen “sıfır tıklama” saldırıları da dahildir. Sıfır tıklama saldırıları Mayıs 2018’den beri gözlemlendi ve şimdiye kadar devam ediyor. Son zamanlarda, Temmuz 2021’de iOS 14.6 çalıştıran tamamen yamalı bir iPhone 12’ye saldırmak için birden fazla sıfır gününden yararlanan başarılı bir “sıfır tıklama” saldırısı gözlemlendi.

Bu ifade ile rapordan, Pegasus’ un sıfır tıklama sonucu enfeksiyonunun farklı zamanlarda farklı sıfır gün açıklarını kullanarak gerçekleştirdiği anlaşılmaktadır.

Bu işlemin gerçekleştirilebilmesi içinse, yukarıda 1 numarada ifade edilen şekilde enfekte edilmek istenen cihazın IP adresinin belirlenmesi gerekiyor ancak IP adresinin enfekte edilmeden önce tespit edilebilmesi, sıfır tıklama, yani cihaz kullanıcısının herhangi bir eylemi olmaksızın tespiti mümkün değildir.

Bu nedenle de hedeflenen kişinin içerisinde bulunduğu IP adres aralığındaki tüm cihazların enfekte edilmesi gerekecektir.

Bu işlem ise 2 numarada ifade edilen tüm cihazlara yüzlerce farklı domain üzerinde kurulu bir sunucu şebekesi üzerinden sıfır gün zafiyetleri kullanılarak gerçekleştirilmektedir. Uluslararası Af Örgütü’ nün raporunda yaklaşık 700 farklı domain adresinin bu işlem için kullanıldığına dair tespitler ve bu domainlerin tam bir listesi yer almaktadır.

Aşağıdaki tablo, 2016’dan 2021’in ortalarına kadar 4 yıllık bir dönemde NSO Group Pegasus altyapısının gelişimini göstermektedir. Versiyon 3 altyapısının çoğu, Pegasus’u hedef alan Uluslararası Af Örgütü personeli hakkındaki raporumuzu takiben Ağustos 2018’de aniden kapatıldı. Versiyon 4 altyapı ardından yavaş yavaş Eylül ve Ekim 2018 yılında başlayan silindir dışarı edildi.

Aşağıdaki grafikte Pegasus sunucularının tespiti ve sonrasında sunucu sayılarındaki değişim ve yeni sunucuların faaliyete geçiş dönemleri görülebilmektedir.

Bu yazının amacı Pegasus Casus Yazılımı’ nın sıfır tıklama ile hangi sıfır gün açıklarını kullandığı konusunda teknik bilgilendirme yapmak değildir. Ancak, sürecin anlaşılabilmesi için özetlenmiştir.

Pegasus vakası her ne kadar yeni gündeme gelmiş olsa da, esas itibariyle 2014 yılından bu yana Pegasus yazılımının kullanıldığına dair tespitler de yine Uluslararası Af Örgütü raporundan anlaşılmaktadır.

Hatta Whatsapp ve Facebook tarafından 2019 yılında NSO’ ya dava açıldığı bilinmektedir. Bu davanın iddianamesine ekleri ile birlikte

https://files.lbr.cloud/316009/whatsapp-fb-v-NSO-group.pdf adresinden ulaşılabilir.

Pegasus Casus Yazılımının enfekte ettiği cihaz sayısı hedeflenen kişi ve cihaz sayısından kat kat fazladır.

Bu tespit, önceki yazıda da değinildiği gibi NSO açıklamalarında yer alan 50.000 cihazın hedeflenmiş olmasının HLR sorgulamaları sonucu ortaya çıkan abartı bir rakam olduğu ifadesinden anlaşılmaktadır.

Bu durumda, hedeflenen kişilere ek olarak hangi cihazlar, kimlere ait cihazlar Pegasus yazılımı tarafından enfekte edilmiş olabilir.

Pegasus yazılımının, hedef cihaza erişim yöntemi nedeni ile hedef kişi ile aynı ASN şebekesinde, HLR sorgulaması yapıldığı zamanda itibariyle Internet bağlantısı açık olan herkesin Pegasus yazılımı tarafından enfekte edildiği varsayılabilir.

Hedef cihazların (kişilerin) ve bu hedefe ulaşırken aynı ASN şebekesinde bulunan diğer kişilerin kimler olduğunu doğrudan tespit edebilmek mümkün değildir.

Ancak, enfekte olduğu kesin olarak tespit edilen bir cihaz ile bu cihazın enfekte edildiği zamanda aynı ASN ağında bulunan cihazların, HTS kayıtları ve kullandıkları baz istasyonları aracılığı ile veya hedef cihazın enfekte olduğu zamanda kullanmakta olduğu IP adresinin CGNAT kayıtları aracılığı ile tespiti ve aynı ASN şebekesinde aynı IP havuzunu kullanmış olan diğer cihazların potansiyel olarak Pegasus tarafından enfekte edildiği kabul edilebilir.

Peki aynı ASN’ ye bağlı cihazların tamamının enfekte edilip edilmediği konusundaki öngörünün teknik olarak dayanağı ne şekilde açıklanabilir.

Bu konunun da açıklaması yine Uluslararası Af Örgütü’ nün raporu içerisinde yer almakta.

Uluslararası Af Örgütü’nün birden fazla cihaz üzerinde yaptığı adli analizde benzer kayıtlar bulundu. Çoğu durumda, aynı iMessage hesabı birden fazla hedeflenen cihazda yeniden oluşur ve bu, bu cihazların aynı operatör tarafından hedef alındığını gösterir. Ek olarak, rol hesaplanan ve aşamalandırılan süreçler, diğerleriyle birlikte tutarlı bir şekilde gerçekleşir.

Hedeflenen kişi ile aynı ASN üzerinde şebekesi üzerinde olması nedeni ile enfekte olan cihazlarda hedeflenen kişiye ait ciahzla kıyaslandığında çok daha az kalıntı olması veya hiç kalıntı olmaması muhtemel bir durumdur. Ancak, kalıntı bulunabilmiş, bunların birbirlerine yakın bir zaman aralığına ait kalıntılar olacağı da açıktır.

Her halükarda Pegasus Casus Yazılımı tarafından enfekt edildiğinden şüphelenilen bir cihazın incelenmesinde aynı işlemler gerçekleştirilmesi gerekecektir.

Uluslararası Af Örgütü’ nün Raporu’ nda MVT (Mobile Verification Toolkit) isimli, Pegasus kalıntılarını Android ve iOS cihazlarda tespit edebilmeyi sağlayan bir araç hakkında bilgiler de yer almakta.

MVT aracının özellikleri aşağıdaki şekilde sıralanmıştır:

  • Şifrelenmiş iOS yedeklemelerinin şifresini çözün.
  • Çok sayıda iOS sistem ve uygulama veritabanlarından ve sistem günlüklerinden gelen kayıtları işleyin ve ayrıştırın.
  • Android cihazlardan yüklü uygulamaları çıkarın.
  • Adb protokolü aracılığıyla Android cihazlardan teşhis bilgilerini çıkarın.
  • Çıkarılan kayıtları, sağlanan kötü amaçlı göstergeler listesiyle STIX2 formatında karşılaştırın. Kötü amaçlı SMS mesajlarını, ziyaret edilen web sitelerini, kötü amaçlı işlemleri ve daha fazlasını otomatik olarak tanımlayın.
  • Ayıklanan kayıtların JSON günlüklerini oluşturun ve algılanan tüm kötü amaçlı izlerin JSON günlüklerini ayırın.
  • Algılanan tüm kötü amaçlı izlerin bir zaman çizelgesiyle birlikte ayıklanan kayıtların birleşik bir kronolojik zaman çizelgesini oluşturun.

Github üzerinden kullanıcılara sunulan bu aracı kullanmak teknik bilgi gerekiyor. Öncelikle aracı kullanmak için cihazınızın yedeklemesini almanız gerekiyor. Daha sonra ise aldığınız yedeklemeleri, araç üzerinde gireceğiniz çeşitli komutlarla, Uluslararası Af Örgütü ve diğer birçok kuruluş tarafından yapılan araştırma sonuçlarıyla toplanan Pegasus yazılımının güvenliği ihlal etmiş ağ ve cihaz göstergelerini karşılaştırmanız gerekiyor.

Bu aracın kullanımı ve kaynak kodlarına aşağıdaki bağlantılardan ulaşmak mümkün.

https://mvt.readthedocs.io/en/latest/index.html

https://github.com/mvt-project/mvt

Cihazdan elde edilen bilgiler ile kıyaslanarak Pegasus tarafından etkilenip etkilenmediğine ilişkin tespit için kullanılması gereken kıyaslama verilerine ise aşağıdaki adresten ulaşabilirsiniz.

https://github.com/AmnestyTech/investigations/tree/master/2021-07-18_nso

MVT ARacıın bir kullanıcı arayüzüne sahip olmaması nedeni ile inceleme işleminin ilgili komutları yazarak gerçekleştirilmesi gerekmektedir.

MVT aracı bir Python kütüphanesidir. Kütüphaneye ait detaylı bilgiye aşağıdaki adresten ulaşabilirsiniz:

https://pypi.org/project/mvt/

Pegasus Casus Yazılımından etkilendiğiniz konusunda şüpheleriniz varsa, bize ulaşabilirsiniz.