Pegasus Casus Yazılımı Cihazlara Nasıl Sızmış Olabilir?

Bir cep telefonuna sızma için telefonun herhangi bir eylem yapmamış olması mümkündür.

Ancak bu durumda, erişilmek istenen cep telefonunun internet bağlantı bilgilerinin elde edilmiş olması gerekecektir.

Bu sıfır tıklama olarak ifade edilen kullanıcı eylemi olmasa da olsa da gereklidir.

Peki herhangi bir cep telefonunun Internet bağlantı bilgilerine nasıl erişilir.

NSO açıklamaları içerisinde de yer aldığı, HLR (Home Location Register) kaydı, bir GSM hattının bağlı olduğu şebekeyi gösterir. Bunu bağlı olduğu baz istasyonu olarak düşünmek mümkündür.

Bu kayıt sayesinde kişi arandığında şebeke kişiye hangi baz istasyonu üzerinden erişebileceğini bilir ve arama kaydı şebeke elemanları içerisinde yönlendirilir.

Ancak, bir cep telefonuna sızmak için hangi şebekeye veya hangi baz istasyonuna bağlı olduğunu bilmek yetmez.

Bu bilgi yani HLR bilgisi anlık olarak elde edildikten sonra ikinci adımda kişinin dahil olduğu şebeke bölümüne tahsis edilen IP adres aralığının tespit edilmesi gerekir. Bu tespit ise ASN (Autonomous System Number) aracılığı ile yapılır.

ASN bilgisi hangi şebeke bölümünde hangi IP adreslerinin kullanıldığına dair listeler sağlamaktadır.

Ancak ikinci adımda elde edilen IP bilgisi yalnızca kişiye ait değil, aynı ASN şebekesine bağlı bütün kişilere tahsis edilebilir bir IP adres aralığındır.

Bu cihazına sızılmak istenen kişinin tam olarak belirlendiği anlamına gelmeyecektir.

NSO tarafından yapılan açıklamaya tekrar dönülecek olursa, “enfeksiyona maruz kalmış bir telefonu “hedef” olarak gördüklerini açıkladılar ve 50.000 telefon listesinin “hedefleri” temsil edemeyecek kadar büyük olduğunu yinelediler.” Şeklindeki ifadeler muhtemel suretle aynı ASN şebekesindeki herkesin cihazıan sızılarak, istenen hedefin sızılan cihazlar arasından elde edildiğini göstermekte. (Türkiye’ de 14.889 adet ASN mevcuttur.)

Yani sızma işlemi 3 adımda gerçekleşmiş görünmektedir.

1. HLR sorgulaması ile hedefin bulunduğu ASN şebekesini belirle,

2. ASN şebekesindeki herkesin cihazına sızma gerçekleştir.

3. Hedeflenen kişi tüm cihazlar içerisinde olacağı için bu kişiyi izle, diğerlerini izleme.

Bu tür bir saldırı yönteminin kullanılmış olması nedeni ile sızılan cihaz sayısı ile izlenen kişi sayısı arasında oldukça büyük bir fark ortaya çıkacaktır ki bu durum da NSO açıklamalarından anlaşılmakta ve 50.000 rakamının HLR sorgulamasına bağlı ortaya çıkan büyük bir rakam olarak açıklandığı görülmektedir.

Bir cihazda pegasus kalıntısının bulunması ile ilgili bilgiler için ayrı bir yazı yazılacaktır.

Pegasus Casus Yazılımından etkilendiğiniz konusunda şüpheleriniz varsa, bize ulaşabilirsiniz.

İlgili Bağlantılar

https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/

https://siberbulten.com/dijital-guvenlik/cihazinizda-pegasus-yazilimi-oldugunu-nasil-bilebilirsiniz/

İlgili kaynaklardan alıntılanan kısa bir özet aşağıdaki şekildedir.

İsrail merkezli NSO firmasına ait olan ‘Pegasus’ adlı casus yazılımının mobil cihazlara nasıl sızdığı analiz edildi. Daha önceki casus yazılımlarda bir linke tıklanması gerekiyordu. Ancak ‘Pegasus’ta buna gerek yok. Hedefte olan kişinin ruhu duymadan, NSO müşterisi telefonu ele geçirebiliyor.

Guarnieri, Pegasus’ta, casus yazılımın yüklemesi için bir bağlantıya tıklanması yerine, ‘sıfır tıklama’ olarak adlandırılan bir sistemin kullanıldığını söyledi. Böylece müşterinin herhangi bir müdahalesi olmadan yazılımın telefonun kontrolünü ele geçirmesini sağlanıyor.

Söz konusu yazılımın adı Pegasus. Hem Android hem de iPhonelara erişebiliyor ve mesaj, fotoğraf, e-posta ve aramaları görüntüleyebiliyor. Bunun yanısıra mikrofonu da gizlice etkinleştirebiliyor.

NSO 2016’dan bu yana 50 binden fazla telefona sızdı. Paris merkezli , kar amacı gütmeyen bir medya kuruluşu Forbidden Stories ve Uluslararası Af Örgütü, takip edilen telefonların listesine ulaştı ve medya ortaklarıyla paylaştı. The Guardian ve medya ortakları, önümüzdeki günlerde listede yer alan kişilerin kimliklerini açıklayacak. Söz konusu listede yüzlerce şirket yöneticisi, dini lider, akademisyen, STK çalışanı, sendika yetkilisi, bakanlar, cumhurbaşkanları ve başbakanlar dahil hükümet yetkilileri var.

NSO casus yazılım iddiasını reddeti ve 50 bin rakamını ‘abartılı’ olarak niteledi. Ancak iddiaları araştıracağını söyledi. NSO İsrail Savunma Bakanlığı’nın denetiminde bir şirket. Bu nedenle NSO teknolojisini yeni bir ülkeye satmadan önce lisans alıyor.

Şirket her zaman müşterilerinin hedeflerinin verilerine erişimi olmadığını söyledi. NSO, avukatları aracılığıyla konsorsiyumun hangi müşterilerin şirketin teknolojisini kullandığı konusunda “yanlış varsayımlarda bulunduğunu” söyledi. 50.000 rakamının “abartılı” olduğunu ve listenin “Pegasus kullanan hükümetler tarafından hedeflenen” bir numara listesi olamayacağını söyledi. Avukatlar, NSO’nun konsorsiyum tarafından erişilen listenin “Pegasus kullanan hükümetler tarafından hedeflenen bir numara listesi olmadığına, bunun yerine NSO Group müşterileri tarafından başka amaçlar için kullanılmış olabilecek daha büyük bir numara listesinin parçası olabileceğine” inanmak için nedenleri olduğunu söyledi. amaçlar”. Açık kaynaklı bir sistemde herkesin arayabileceği bir numara listesi olduğunu söylediler. Diğer sorulardan sonra, Avukatlar, konsorsiyumun bulgularını “HLR Lookup hizmetleri gibi Pegasus veya diğer NSO ürünlerinin müşterilerinin hedefleri listesinde hiçbir ilgisi olmayan erişilebilir ve açık temel bilgilerden sızan verilerin yanıltıcı yorumuna dayandırdığını” söyledi. hala bu listelerin NSO Group teknolojilerinin kullanımıyla ilgili herhangi bir korelasyon görmüyoruz”. Yayınlanmasının ardından, Pegasus tarafından başarılı veya denenmiş (ancak başarısız) bir enfeksiyona maruz kalmış bir telefonu “hedef” olarak gördüklerini açıkladılar ve 50.000 telefon listesinin “hedefleri” temsil edemeyecek kadar büyük olduğunu yinelediler. “Pegasus’un. Listede bir numara bulunmasının, Pegasus kullanılarak gözetleme için seçilip seçilmediğini hiçbir şekilde göstermediğini söylediler. örneğin Pegasus veya diğer NSO ürünlerinin müşterilerinin hedefleri listesinde hiçbir ilgisi olmayan HLR Lookup hizmetleri gibi … hala bu listelerin NSO Group teknolojilerinin kullanımıyla ilgili herhangi bir korelasyon görmüyoruz”. Yayınlanmasının ardından, Pegasus tarafından başarılı veya denenmiş (ancak başarısız) bir enfeksiyona maruz kalmış bir telefonu “hedef” olarak gördüklerini açıkladılar ve 50.000 telefon listesinin “hedefleri” temsil edemeyecek kadar büyük olduğunu yinelediler. “Pegasus’un. Listede bir numara bulunmasının, Pegasus kullanılarak gözetleme için seçilip seçilmediğini hiçbir şekilde göstermediğini söylediler. örneğin Pegasus veya diğer NSO ürünlerinin müşterilerinin hedefleri listesinde hiçbir ilgisi olmayan HLR Lookup hizmetleri gibi … hala bu listelerin NSO Group teknolojilerinin kullanımıyla ilgili herhangi bir korelasyon görmüyoruz”. Yayınlanmasının ardından, Pegasus tarafından başarılı veya denenmiş (ancak başarısız) bir enfeksiyona maruz kalmış bir telefonu “hedef” olarak gördüklerini açıkladılar ve 50.000 telefon listesinin “hedefleri” temsil edemeyecek kadar büyük olduğunu yinelediler. “Pegasus’un. Listede bir numara bulunmasının, Pegasus kullanılarak gözetleme için seçilip seçilmediğini hiçbir şekilde göstermediğini söylediler. hala bu listelerin NSO Group teknolojilerinin kullanımıyla ilgili herhangi bir korelasyon görmüyoruz”. Yayınlanmasının ardından, Pegasus tarafından başarılı veya denenmiş (ancak başarısız) bir enfeksiyona maruz kalmış bir telefonu “hedef” olarak gördüklerini açıkladılar ve 50.000 telefon listesinin “hedefleri” temsil edemeyecek kadar büyük olduğunu yinelediler. “Pegasus’un. Listede bir numara bulunmasının, Pegasus kullanılarak gözetleme için seçilip seçilmediğini hiçbir şekilde göstermediğini söylediler. hala bu listelerin NSO Group teknolojilerinin kullanımıyla ilgili herhangi bir şeyle ilişkisini görmüyoruz”. Yayınlanmasının ardından, Pegasus tarafından başarılı veya denenmiş (ancak başarısız) bir enfeksiyona maruz kalmış bir telefonu “hedef” olarak gördüklerini açıkladılar ve 50.000 telefon listesinin “hedefleri” temsil edemeyecek kadar büyük olduğunu yinelediler. “Pegasus’un. Listede bir numara bulunmasının, Pegasus kullanılarak gözetleme için seçilip seçilmediğini hiçbir şekilde göstermediğini söylediler.

HLR arama verileri nedir?

HLR veya ev konumu kaydı terimi, cep telefonu ağlarını çalıştırmak için gerekli olan bir veritabanına atıfta bulunur. Bu tür kayıtlar, aramaları ve metinleri yönlendirmede rutin olarak kullanılan diğer tanımlayıcı bilgilerle birlikte telefon kullanıcılarının ağları ve genel konumları hakkında kayıtlar tutar. Telekom ve gözetim uzmanları, bir telefona bağlanmanın mümkün olup olmadığını belirlerken bazen bir gözetim girişiminin erken aşamasında HLR verilerinin kullanılabileceğini söylüyor. Konsorsiyum, NSO müşterilerinin Pegasus sistemindeki bir arayüz aracılığıyla HLR arama sorguları yürütme yeteneğine sahip olduğunu anlıyor. Pegasus operatörlerinin, yazılımını kullanmak için arayüzü üzerinden HRL arama sorgulaması yapması gerekip gerekmediği açık değildir;

Sızan listede numaraları görünen az sayıda telefonun adli incelemesi de yarısından fazlasının Pegasus casus yazılımının izine sahip olduğunu gösterdi.

Pegasus projesi nedir?

Pegasus projesi, NSO Grubu ve müşterileri hakkında ortak bir gazetecilik araştırmasıdır. Şirket, dünya çapındaki hükümetlere gözetim teknolojisi satıyor. Amiral gemisi ürünü, iPhone’ları ve Android cihazlarını hedefleyen casus yazılım veya casus yazılım olan Pegasus’tur. Bir telefona virüs bulaştığında, bir Pegasus operatörü, kullanıcının haberi olmadan sohbetleri, fotoğrafları, e-postaları ve konum verilerini gizlice çıkarabilir veya mikrofonları ve kameraları etkinleştirebilir.

Paris merkezli, kâr amacı gütmeyen bir gazetecilik kuruluşu olan Forbidden Stories ve Uluslararası Af Örgütü, 2016 yılından bu yana NSO müşterileri tarafından hedef olarak seçilen 50.000’den fazla telefon numarasının sızdırılmasına erişti. Verilere erişim daha sonra Guardian ve diğer 16 haber kuruluşu ile paylaşıldı. Washington Post, Le Monde, Die Zeit ve Süddeutsche Zeitung dahil. Yasak Hikayeler tarafından koordine edilen soruşturmada 80’den fazla gazeteci birkaç ay boyunca işbirliği içinde çalıştı.

Analiz ayrıca, listeye bir sayının girildiği saat ve tarih ile bazı durumlarda sadece birkaç saniye sonra meydana gelen cihazdaki Pegasus etkinliğinin başlangıcı arasında bazı sıralı korelasyonları ortaya çıkardı.

Uluslararası Af Örgütü. kullanıcıları Pegasus casus yazılımından koruyacak bir araç geliştirdi.

MVT bunun ardından tarama sonuçlarının bir dosyasını oluşturuyor. Eğer telefona sızan bir uygulama varsa, bu dosyalar onu ortaya çıkarıyor.

Ancak proje komut satırı arayüzüyle çalışıyor. Yani aracı kullanabilmek için temel bilgisayar bilgisi gerekiyor. Teknoloji haberleri sitesi Techcrunch, MVT’nin hem iOS hem de Android cihazlarda çalıştığını bildirdi.

MVT ayrıca açık kaynak kodlu yazılım olduğu için geliştirilmeye müsait. Techcrunch, bu sayede ücretsiz yazılımın yakın zamanda kullanımı daha kolay bir versiyonunun gelebileceğini yazdı.