İsrail'in Yalnızca Devletlere Sattığı Skandal Casus Yazılım: Pegasus

Nedir bu Pegasus?

pegasus, sadece devletlerin güvenlik ve istihbarat teşkilatları kullanabilsin diye israilli yazılım firması nso group tarafından üretilmiş bir casus yazılımı. terör şüphelilerinin izlenmesi, dinlenmesi amacıyla sadece devlet güvenlik kuruluşlarına, israil devleti'nin özel izni ile satılan bu yazılım, ne yazık ki devletlerin genel ve özel politikalarına karşı duran muhalif grupların ve bireylerin gizlice dinlenmesi amacıyla da kullanılmış. 

the guardian gazetesinin haberine göre, muhaliflerin gizlice dinlenmesi süreci bir skandala neden olabilirmiş. (haber) aynı konuyla ilgili 1 yıl önce çıkmış başka bir haber.

the new york times'ın haberine göre, suudi arabistan'ın istanbul konsolosluğunda öldürülen cemal kaşıkçı'yı, suudi gizli servisi bu yazılımla izlemiş. (haber)

Casus yazılım Pegasus, sizi nasıl hack'liyor?

iddia edilene göre nso group'un geliştirdiği yazılım olan pegasus daha çok su kaldırır. amnesty international'ın raporuna göre ortada çok acayip şeyler dönmüş, dönüyor ve dönmekte.

bu casus yazılım zero-click dediğimiz bir saldırı metodunu kullanıyor. burada ise senaryo size gelen bir sms üstünden tetikleniyor ve sizin bu smsteki linke tıklamanız bile gerekmiyor. rapordan anlaşılan şey şu; ios 14.6 cihazınız varsa imessage üzerindeki bir zaafiyet ile pegasus yüklenebiliyor. yani nso group en son model iphone'lara sızabiliyor. bu da apple'ın imessage güvenliği ile alakalı ciddi bir sorunu olduğunu gösteriyor bize. amnesty international'ın raporu pegasus saldırılarının ios'u hedef aldığı yönünde bu arada.

pegasus spyware'ın yönlendirdiği zaafiyetler kalıcı değil, yani reboot ettiğinizde sisteminize geri yüklenmiyor bunun için tekrardan zero-click'in tetiklenmesi gerekiyor. bu da sanırım birkaç ay önce bu konuda bahseden "ya işte şu ülkelere girildiğinde siliyor kendisini" algısını yaratan bir şey oldu. ama esasen olay analizden kaçınmak. gerçekten de böyle bir şey olabilir bu arada, zira spyware tespit edilmemek adına her şeyi yapıyor amnesty international'ın raporuna bakılırsa. mesela 9.1'de bahsedildiği üzere 4 katmanlı bir yapı kullanılıyor. özet geçmem gerekirse:

1. doğrulama server'ı: gelen istek geçerli ve halen aktif bir adresten geliyorsa kurbanı exploit'in yükleneceği servera yönlendiriyor; değilse sahte ama zararsız bir siteye yönleniyor.

2. enfeksiyon dns server'ı: burada her exploit denemesi için benzersiz bir subdomain üretildiği ve kısa süre hayatta kaldığı için tespiti zor. bu subdomainleri kullanabilmek için kendi dns serverlarını çalıştırıyorlar.

3. pegasus yüklenme server'ı. taramadan kaçmak için webserver'ı rastgele ama çok rastlanılmayan bir portta çalıştırıyorlar deniliyor

4. yönetim ve kontrol server'ları: pegasus yönetim ve kontrol için ayrı domainler kullanıyor.

ilerleyen zamanlarda domainler yerine url kısaltıcılar kullansa da rapor edildiği kadarıyla kullanılan domainler şu listede bulunabilir. eğer pihole kullanıyorsanız falan deny list'e alabilirsiniz. çok acayip domainler var. benim gözüme çarpanlar:

- pastesbin.com
- cryptocurrecny.com
- turkeynewsupdates.com
- turkishairines.info

yani bu türden bir saldırıya karşı son kullanıcı olarak bir şey yapabilmeniz zor. zira size bir sms geliyor ve sms sizin iradeniz dışında işletim sisteminiz tarafından tetikleniyor. olası tek önerim güncellemelerinizi almanız, ve güvenlik güncellemelerini kesinlikle pasgeçmemeniz.

aşağıdaki videodan telefonunuza yüklenmiş bir spyware ile neler yapılabildiği görülebilir:

kaynaklar:
- https://www.amnesty.org/…-catch-nso-groups-pegasus/
- https://twitter.com/…zak/status/1416801439402262529
- https://github.com/…ster/2021-07-18_nso/domains.txt