Dünyayı tehdit eden casus yazılım: Pegasus

Uluslararası siber silah pazarının adeta hâkimi olan dijital casusluk yazılımı Pegasus, sarsıcı iddialarla yeniden dünya gündemine oturdu. Guardian, Washington Post, AFP, CNN ve Reuters’ın da aralarında bulunduğu 16 farklı medya kuruluşunca gündeme getirilen iddialar, İsrail üretimi Pegasus’un küresel ölçekte kimlere karşı hangi amaçla kullanıldığına ilişkin tartışmalara neden oldu.

Pegasus’a dair söz konusu iddiaların büyük bir kısmı esasında yıllardır dile getiriliyor. İlk olarak 2016 yılında teknik araştırma raporlarında gördüğümüz Pegasus’un, Suudi Arabistan, Birleşik Arap Emirlikleri (BAE), Fas, Pakistan, Hindistan, Sudan, Meksika, İspanya, Fransa, Macaristan gibi 50’den fazla ülkede tespit edildiği, adı geçen ülkelerde üst düzey siyasetçiler, gazeteciler, aktivistler, hukukçular ve STK temsilcilerinin izlendiği iddia edilmişti. Pegasus’un üreticisi Herzliya merkezli firma olan NSO Group, o dönemlerde söz konusu iddiaların tümünü yalanlamıştı.

2016 yılından günümüze kadar gelen süreçte, Pegasus’un Türkiye’de de tespit edildiği ve birtakım isimlerin hedef alındığı iddialar arasındaydı. Meselenin esas tartışma konusu haline gelmesi ise 2018 yılının Ekim ayında vahşice katledilen Cemal Kaşıkçı’nın Pegasus ile bir süre izlenmiş ve hedef alınmış olmasıydı. 2019 yılında, Kaşıkçı’nın yakın arkadaşı Ömer Abdülaziz önce kendisinin sonra da Kaşıkçı’nın Suudi Arabistan Veliaht Prensi Muhammed bin Selman yönetimi tarafından hedef alındığını çok defa dile getirmişti. NSO, bu iddiaların doğruluk payı olmadığını, ürünlerinin Kaşıkçı cinayetinde herhangi bir rolünün bulunmadığını açıklamıştı.

Uluslararası basında, Pegasus yazılımının bu şekilde kötüye kullanıldığına dair çıkan birçok haberi yalanlayan şirket, bu söylemlerine bugün de ısrarla devam ediyor. Özellikle uluslararası gazeteciler konsorsiyumu Forbidden Stories ve Uluslararası Af Örgütü’nün (UAÖ) hazırlayıp 16 medya kuruluşundan 80 gazeteciyle paylaştığı “dünya çapında 50 bin telefona Pegasus bulaştı” iddiaları şirket tarafından peş peşe yapılan açıklamalarla reddediliyor. İddialara verilen cevapların ikna edici olmadığı da uluslararası alanda tartışılıyor. Peki bu iddiaların doğruluk payı nedir? Bu soruya cevap vermeden önce NSO Group şirketinden ve Pegasus casus yazılımından bahsetmek gerekiyor. 

Pegasus ile gelen kötü şöhret

İsrail’in en bilinen siber casusluk ve teknoloji şirketi olan NSO Group, 2010 yılında Herzliya kentinde üç İsrailli tarafından kuruldu. On bir yıllık geçmişe sahip olan şirket, küresel şöhretini amiral gemisi ürünü olan Pegasus casus yazılımı sayesinde kazandı. Fakat çeşitli skandallar ve insan hakları ihlalleri gibi davalarda adı geçen NSO için Pegasus, kötü bir şöhret getirdi.

NSO, İsrail askeri istihbarat servisi AMAN’da teknik istihbarat faaliyetlerinde temel rolü olan Unit8200 teşkilatından gelen üç kişi tarafından kuruldu. Niv Carmi, Shalev Hulio ve Omri Lavie tarafından kurulan şirketin adı, kurucularının isimlerinin baş harflerinden oluşuyor. Daha sonra Niv Carmi ekipten ayrıldı ve NSO 2019 yılında İngiltere merkezli yatırım şirketi olan Novalpina Capital tarafından satın alındı. Niv Carmi’nin yerine Novalpina Capital geçti. Shalev ile Omri, şirketin üst düzey yöneticileri olarak görevlerine halen devam ediyorlar.

2016 yılından itibaren adını daha çok duyduğumuz NSO, bugün sahip olduğu değer bakımından İsrail’in en büyük siber teknoloji şirketi olarak nitelendirilebilir. Her ne kadar çoğu yerde Pegasus gibi siber casusluk ürünleri sağlayan bir şirket olarak bilinse de NSO, Eclipse adını verdiği bir “counter-drone” sistemi de geliştiriyor. 2020 yılının başlarında şirket, yine bir başka İsrail firması olan ve anti-drone teknolojileri üreten Convexum adlı şirketi 60 milyon dolara satın almıştı. Bu satın almanın ardından NSO, sadece altı ayda tamamen kendi ürünü olan Eclipse’i üretti.

Şirketin, Pegasus ve Eclipse dışında iki farklı ürünü daha mevcut. Telefon dinleme ve teknik takip cihazı/aygıtı olan Pixcell ve coğrafi istihbarat (GEOINT) alanında askeri teknolojilere örnek olan Landmark isminde stratejik araçlar da geliştiriyor. Pixcell ve Landmark adlı ürünler hakkında sadece “özel” görüşmelerde bilgi veriliyor.

NSO’nun en meşhur ve muhtemelen en pahalı ürünü olan Pegasus, ifşa olan resmi dokümana göre şirketin en stratejik ürünü olarak biliniyor. 2021 rakamlarına göre 45 ülkede kullanıma sunulan Pegasus’u çoğunlukla devletlerin istihbarat servisleri satın aldı. Değeri net olarak bilinmese de çeşitli kaynaklarda 30-50 milyon dolar arası rakamlardan söz ediliyor.

Kamuoyunda kötü şöhretle anılmaya başladığı 2016 yılından itibaren NSO’ya karşı uluslararası alanda çeşitli suç duyuruları yapıldı. Bunlardan en bilineni, 2019 yılında WhatsApp tarafından açılan dava. Şirket, günümüzde de çeşitli devletlerin ve şirketlerin açtığı onlarca davayla mücadele ediyor.

Pegasus’u diğerlerinden ayıran nedir?

Stratejik siber silah olarak tanımlayabileceğimiz Pegasus casus yazılımı şahıs ya da şirketlere değil, sadece devletlerin istihbarat servislerine ve kolluk kuvvetlerine satılıyor. Satışlar ve diğer bütün görüşmeler doğrudan NSO uzmanları ile yapılıyor. Bu satışlar da İsrail Savunma Bakanlığı’nın onayından geçmek zorunda. Yani Pegasus, yalnızca Tel Aviv yönetiminin izin verdiği devletlere satılabiliyor.

Günümüzde 45 ülkede kullanımda olduğu söylenen Pegasus’un, yine Tel Aviv yönetiminin talebiyle sadece beş ülkeye satışı yapılmıyor; ABD, Rusya, Çin, İsrail ve İran. Hatta bir başka bilgiye göre Pegasus, söz konusu beş ülkenin sınırlarına girdiği anda kendini imha ediyor. Bu özellik, istihbarat fonksiyonu olan bir teknoloji ürünü için stratejik bir konu. Pegasus’un en büyük özelliklerinden biri de bu tip bir “self-destruction” (kendini imha etme) niteliğine sahip olması. Diğer yandan NSO şimdiye kadar 90 ülkenin Pegasus’u satın alma talebini reddetmiş. Burada da Tel Aviv’in çıkarlarının göz önünde tutulduğu görülüyor.

Pegasus, esas olarak iki farklı metotla hedefe bulaşıyor. İlki, kullanıcı etkileşimi (tıklama vb.) gerektirirken, diğeri ise “zero click” olarak bilinen, WhatsApp gibi uygulamalar üzerinden enfekte olma yöntemi. Pegasus casus yazılımı, (en güvenli olarak bilinenler dahil) dünyada bilinen bütün mobil cihazlara bu iki yoldan sızıp onları tamamen kontrol edebiliyor. Sadece kamera, mikrofon ve uygulamalara erişmekle, mesajları okumakla kalmıyor, hedef olan cihaza tamamen hükmedebiliyor.

Yıllar önce ifşa olan NSO dokümanından gördüğümüz bilgilere göre Pegasus’un sızdığı bir cihazdan elde ettiği veriler şu şekilde listelenebilir:

Telefon çağrıları (görüşmeleri anlık olarak dinler ve kayıt alır)

Kamera ve mikrofon (Anlık olarak çevreden ses ve görüntü alır)

Metin mesajları (SMS’lerin tamamına erişir, okur)

Chat uygulamaları (WhatsApp gibi programlardaki yazışmaları okur)

E-postalar (Gelen ve giden e-posta ve eklerini okur)

Konum bilgileri (Anlık olarak konum takibi yapar, gidilen yerleri kaydeder)

Cihaz özellikleri, ayarlar ve şebeke bilgileri

Rehberde kayıtlı kişiler

Web tarayıcı kayıtları (her türlü internet tarayıcısını anlık olarak izler)

Takvim etkinlikleri

Dosya transferleri (alınan ve gönderilen dosyaları okur)

Bütün bunlar Pegasus’un basit bir casus yazılım değil, stratejik bir akılla üretilen bir siber silah olduğunun göstergesi. Pegasus’un İsrailli uzmanlarca “askeri düzeyde casus yazılım” olarak tanımlandığını da vurgulamak gerekir. Son olarak, Pegasus için söylenen şu söz, onun niteliğini özetliyor: “Pegasus cihazınıza bulaşırsa, o cihaz artık sizin değildir.”