Bu yıl, bir Sırp gazeteci ve bir aktivistin telefonları, adli tıp alet üreticisi Cellebrite tarafından üretilen bir cep telefonu kilit açma cihazı kullanılarak yerel yetkililer tarafından hacklendi. Uluslararası Af Örgütü’nün yeni bir raporuna göre yetkililerin hedefi, Cellebrite’ın izin verdiği gibi yalnızca telefonların kilidini açarak kişisel verilere erişim sağlamak değil, aynı zamanda daha fazla gözetim sağlamak için casus yazılım yüklemekti.
Uluslararası Af Örgütü, raporunda bunların, Cellebrite araçlarının “kullanımıyla etkinleştirilen, adli olarak belgelenen ilk casus yazılım enfeksiyonları” olduğuna inandığını söyledi.
Bu kaba ama etkili teknik, hükümetlerin vatandaşlarını gözetlemek için casus yazılım kullandığı birçok yoldan biridir. Son on yılda, Uluslararası Af Örgütü ve dijital haklar grubu Citizen Lab gibi kuruluşlar, hükümetlerin diğerlerinin yanı sıra NSO Group, Intellexa ve artık feshedilmiş casus yazılım öncüsü Hacking Team gibi Batılı gözetleme teknolojisi satıcıları tarafından üretilen gelişmiş casus yazılımları kullandığı düzinelerce vakayı belgeledi. Muhalifleri, gazetecileri ve siyasi muhalifleri uzaktan hacklemek için.
Artık, güvenlik iyileştirmeleri sayesinde sıfır gün ve uzaktan yerleştirilen casus yazılımlar daha pahalı hale geldikçe, yetkililer, hacklemek istedikleri telefonları fiziksel olarak ele geçirmek gibi daha az karmaşık yöntemlere daha fazla güvenmek zorunda kalabilir.
Dünya çapında pek çok casus yazılım istismarı vakası meydana gelse de, bunların Amerika Birleşik Devletleri’nde gerçekleşmeyeceğine veya gerçekleşmeyeceğine dair hiçbir garanti yoktur. Kasım ayında Forbes, İç Güvenlik Bakanlığı Göçmenlik ve Gümrük Muhafaza Dairesi’nin (ICE) aralarında Cellebrite’ın da bulunduğu telefon korsanlığı ve gözetleme araçlarını satın almak için 20 milyon dolar harcadığını bildirdi. Başkan seçilen Donald Trump’ın vaat ettiği kitlesel sınırdışı kampanyası göz önüne alındığında, Forbes Rapora göre uzmanlar, yeni yönetim Beyaz Saray’ın kontrolünü ele geçirdiğinde ICE’nin casusluk faaliyetlerini artıracağından endişeleniyorlar.
İlk casus yazılımların kısa tarihi
Tarih tekerrür etme eğilimindedir. Yeni (veya belgelenmemiş) bir şey ilk kez ortaya çıktığında bile, bunun aslında daha önce olmuş bir şeyin yinelenmesi olması mümkündür.
Yirmi yıl önce, devlete ait casus yazılımlar zaten mevcutken, buna karşı savunma yapmakla görevli antivirüs endüstrisinde çok az şey biliniyorken, hedefin bilgisayarına fiziksel olarak casus yazılım yerleştirmek, polislerin iletişimlerine erişmesinin bir yoluydu. Yetkililerin, bazen evlerine veya ofislerine girerek hedefin cihazına fiziksel olarak erişmesi ve ardından casus yazılımı manuel olarak yüklemesi gerekiyordu.
Bize Ulaşın
Devlet casus yazılımları ve yapımcıları hakkında daha fazla bilgiye sahip misiniz? Çalışmayan bir cihazdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden, Telegram ve Keybase @lorenzofb aracılığıyla veya e-posta aracılığıyla güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.
Bu nedenle, örneğin Hacking Team’in casus yazılımlarının 2000’li yılların ortalarındaki ilk sürümleri, bir USB anahtarından veya CD’den başlatılacak şekilde tasarlandı. Daha önce, 2001’de FBI, Scarfo’nun e-postalarını şifrelemek için kullandığı anahtarı çalmak amacıyla, Scarfo’nun klavyesinde yazdıklarını izlemek üzere tasarlanmış bir casus yazılım yerleştirmek için mafya babası Nicodemo Scarfo’nun ofisine baskın yapmıştı.
Bu teknikler zorunluluktan olmasa da popülerliğe geri dönüyor.
Citizen Lab, 2024’ün başlarında, Rus istihbarat teşkilatı FSB’nin, 2022’den beri Ukrayna’da yaşayan muhalif bir siyasi aktivist olan Rus vatandaşı Kirill Parubets’in gözaltındayken telefonuna casus yazılım yüklediği iddia edilen bir vakayı belgeledi. Rus yetkililer, Parabuts’u, özel verilerine erişebilecek casus yazılım yerleştirmeden önce telefonunun şifresini vermeye zorlamıştı.
Dur ve ara
Sırbistan’da yaşanan son vakalarda Uluslararası Af Örgütü, gazeteci Slaviša Milanov ve gençlik aktivisti Nikola Ristić’in telefonlarında yeni bir casus yazılım buldu.
Şubat 2024’te yerel polis, Milanov’u rutin bir trafik kontrolü gibi görünen bir işlem için durdurdu. Daha sonra bir polis karakoluna getirildi ve Uluslararası Af Örgütü’ne göre sorgulanırken ajanlar Xiaomi Redmi Note 10S adlı Android telefonunu aldı.
Milanov onu geri aldığında tuhaf bir şey bulduğunu söyledi.
“Mobil verilerimin (veri iletimi) ve Wi-Fi bağlantımın kapalı olduğunu fark ettim. Cep telefonumdaki mobil veri uygulaması her zaman açıktır. Bu, birisinin cep telefonuma girdiğine dair ilk şüpheydi,” diye TechCrunch’a yakın zamanda yapılan bir röportajda Milanov’a söyledi.
Milanov, daha sonra birisinin uygulamalarını ne kadar süre kullandığını izleyen bir yazılım olan StayFree’yi kullandığını ve telefonun güya kapalıyken ve polisin elindeyken “birçok uygulamanın aktif olduğunu” fark ettiğini söyledi. telefonunun şifresini vermesini istedi veya zorladı.
“Saat 11:54 ile 13:08 arasında çoğunlukla Ayarlar ve Güvenlik uygulamalarının ve Dosya yöneticisinin yanı sıra Google Play Store, Kaydedici, Galeri, İletişim’in de telefonun açıldığı zamana denk geldiğini gösterdi. benimle değildi” dedi Milanov.
“O sırada cep telefonumdan 1,6 GB veri çıkardılar” dedi.
Bu noktada Milanov “hoş olmayan bir şekilde şaşırmıştı ve çok kızmıştı” ve mahremiyetinin tehlikeye atıldığına dair “kötü bir duyguya” kapılmıştı. Telefonunu adli açıdan kontrol ettirmek için Uluslararası Af Örgütü ile temasa geçti.
Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı başkanı Donncha Ó Cearbhaill, Milanov’un telefonunu analiz etti ve gerçekten de telefonun kilidinin Cellebrite kullanılarak açıldığını ve Uluslararası Af Örgütü’nün Sırpça “yeni” anlamına gelen kelimeden gelen NoviSpy adını verdiği bir Android casus yazılımı yüklediğini buldu.
Casus yazılımlar muhtemelen sivil toplumda ‘yaygın olarak’ kullanılıyor
Uluslararası Af Örgütü’nün NoviSpy casus yazılımı ve bir dizi operasyonel güvenlik veya OPSEC ile ilgili analizi, casus yazılımın geliştiricisinin Sırp istihbaratına işaret ediyor.
Uluslararası Af Örgütü’nün raporuna göre casus yazılım, “tutuklama, gözaltı veya bazı durumlarda sivil toplum üyeleriyle yapılan bilgilendirme amaçlı görüşmeler sırasında mobil cihazlara sistematik ve gizlice bulaşmak için kullanıldı. Uluslararası Af Örgütü’ne göre, pek çok vakada, tutuklama veya gözaltıların, bir kişinin cihazına gizli erişim sağlayarak veri çıkarmasını veya cihaza virüs bulaştırmasını sağlamak amacıyla planlandığı görülüyor.”
Uluslararası Af Örgütü, kodda Sırpça yorum ve dizelerin bulunması ve Sırbistan’daki sunucularla iletişim kurmak üzere programlanmış olması nedeniyle NoviSpy’ın muhtemelen ülkede geliştirildiğine inanıyor.
Sırp yetkililerin yaptığı bir hata, Uluslararası Af Örgütü araştırmacılarının NoviSpy’ı Bezbedonosno-informaciona Agencija veya BIA olarak bilinen Sırp Güvenlik Bilgi Ajansı’na ve onun sunucularından birine bağlamasına olanak tanıdı.
Analizleri sırasında Uluslararası Af Örgütü’nün araştırmacıları NoviSpy’ın belirli bir IP adresiyle iletişim kurmak üzere tasarlandığını buldu: 195.178.51.251.
2015 yılında, tam olarak aynı IP adresi Sırp BIA’daki bir ajanla bağlantılıydı. O dönemde Citizen Lab, internete açık sunucuları ve bilgisayarları listeleyen bir arama motoru olan Shodan’da söz konusu IP adresinin kendisini “DPRODAN-PC” olarak tanımladığını buldu. E-posta adresi “dprodan” olan bir kişinin Şubat 2012’de casus yazılım üreticisi Hacking Team ile bir demo için temasa geçtiği ortaya çıktı. Hacking Team’den sızdırılan e-postalara göre şirket çalışanları Sırbistan’ın başkenti Belgrad’da bir demo verdi. bu tarih civarında Citizen Lab’ın “dprodan”ın aynı zamanda bir Sırp BIA çalışanı olduğu sonucuna varmasına yol açtı.
Uluslararası Af Örgütü’ne göre, Citizen Lab tarafından 2015 yılında tanımlanan aynı IP adresi aralığı (195.178.51.xxx) hala BIA ile ilişkilidir. UAÖ, BIA’nın halka açık web sitesinin yakın zamanda bu IP aralığında barındırıldığını tespit etmiştir.
Uluslararası Af Örgütü, çoğu Android kullanıcısı olan Sırp sivil toplumunun iki düzine üyesi üzerinde adli analiz gerçekleştirdiğini ve başka kişilerin de NoviSpy bulaştığını tespit ettiğini söyledi. Uluslararası Af Örgütü’ne göre casus yazılım kodundaki bazı ipuçları, BIA ve Sırp polisinin bunu yaygın olarak kullandığını gösteriyor.
BIA ve Sırp polisini denetleyen Sırbistan İçişleri Bakanlığı, TechCrunch’ın yorum talebine yanıt vermedi.
NoviSpy’ın kodu, Uluslararası Af Örgütü araştırmacılarının artan bir kullanıcı kimliği olabileceğine inandığı şeyi içeriyor; bir kurban durumunda bu sayı 621’di. Yaklaşık bir ay sonra başka bir kurbanın enfekte olması durumunda bu sayı 640’tan yüksekti; bu da yetkililerin daha fazla virüs bulaştırdığını gösteriyordu. bu zaman diliminde yirmiden fazla kişi. Uluslararası Af Örgütü araştırmacıları, çevrimiçi kötü amaçlı yazılım tarama deposu olan VirusTotal’da NoviSpy’ın 2018 tarihli bir sürümünü bulduklarını söyledi ve bu, kötü amaçlı yazılımın birkaç yıldır geliştirildiğini öne sürdü.
Sırbistan’da kullanılan casus yazılımlara ilişkin araştırmasının bir parçası olarak Uluslararası Af Örgütü, Qualcomm yonga setlerinde Sırp bir aktivistin cihazına karşı kullanılan ve muhtemelen Cellebrite’ın kullanıldığı bir sıfır gün istismarı tespit etti. Qualcomm, Ekim ayında Uluslararası Af Örgütü’nün keşfinin ardından güvenlik açığını giderdiğini duyurdu.
Yorum almak için ulaşıldığında Cellebrite’ın sözcüsü Victor Cooper, şirketin araçlarının kötü amaçlı yazılım yüklemek için kullanılamayacağını, “bunu üçüncü bir tarafın yapması gerektiğini” söyledi.
Cellebrite’ın sözcüsü müşterileri hakkında ayrıntılı bilgi vermeyi reddetti ancak şirketin “daha fazla araştırma yapacağını” ekledi. Şirket, Sırbistan’ın son kullanıcı anlaşmasını ihlal etmesi halinde şirketin “iş yaptığımız 100 ülkeden biri olup olmadığını yeniden değerlendireceğini” söyledi.
Kaynak: https://techcrunch.com/2024/12/15/serbian-police-used-cellebrite-to-unlock-then-plant-spyware-on-a-journalists-phone/