Dünyayı tehdit eden casus yazılım: Pegasus nedir?

Pegasus’a dair kelam konusu argümanların büyük bir kısmı esasında  yıllardır lisana getiriliyor. Birinci olarak 2016 yılında teknik araştırma raporlarında  gördüğümüz Pegasus’un, Suudi Arabistan, Birleşik Arap Emirlikleri (BAE), Fas,  Pakistan, Hindistan, Sudan, Meksika, İspanya, Fransa, Macaristan üzere 50’den  fazla ülkede tespit edildiği, ismi geçen ülkelerde üst seviye siyasetçiler,  gazeteciler, aktivistler, hukukçular ve STK temsilcilerinin izlendiği iddia  edilmişti. Pegasus’un üreticisi Herzliya merkezli firma olan NSO Group, o  devirlerde kelam konusu tezlerin tümünü yalanlamıştı.

2016 yılından günümüze kadar gelen süreçte, Pegasus’un Türkiye’de de  tespit edildiği ve birtakım isimlerin amaç alındığı savlar ortasındaydı.  Problemin temel tartışma konusu haline gelmesi ise 2018 yılının Ekim ayında  vahşice katledilen Cemal Kaşıkçı’nın Pegasus ile bir müddet izlenmiş ve hedef  alınmış olmasıydı. 2019 yılında, Kaşıkçı’nın yakın arkadaşı Ömer Abdülaziz önce  kendisinin sonra da Kaşıkçı’nın Suudi Arabistan Veliaht Prensi Muhammed bin  Selman idaresi tarafından maksat alındığını çok sefer lisana getirmişti. NSO, bu  argümanların doğruluk hissesi olmadığını, eserlerinin Kaşıkçı cinayetinde rastgele bir  rolünün bulunmadığını açıklamıştı.

Memleketler arası basında, Pegasus yazılımının bu formda kötüye  kullanıldığına dair çıkan birçok haberi yalanlayan şirket, bu telaffuzlarına bugün  de ısrarla devam ediyor. Bilhassa milletlerarası gazeteciler konsorsiyumu  Forbidden Stories ve Milletlerarası Af Örgütü’nün (UAÖ) hazırlayıp 16 medya  kuruluşundan 80 gazeteciyle paylaştığı “dünya çapında 50 bin telefona Pegasus  bulaştı” savları şirket tarafından peş peşe yapılan açıklamalarla reddediliyor.  Tezlere verilen karşılıkların ikna edici olmadığı da memleketler arası alanda  tartışılıyor. Pekala bu argümanların doğruluk hissesi nedir? Bu soruya karşılık vermeden  evvel NSO Group şirketinden ve Pegasus casus yazılımından bahsetmek gerekiyor.

PEGASUS İLE GELEN MAKÛS ŞÖHRET

İsrail’in en bilinen siber casusluk ve teknoloji şirketi olan NSO  Group, 2010 yılında Herzliya kentinde üç İsrailli tarafından kuruldu. On bir  yıllık geçmişe sahip olan şirket, global şöhretini amiral gemisi eseri olan  Pegasus casus yazılımı sayesinde kazandı. Ancak çeşitli skandallar ve insan  hakları ihlalleri üzere davalarda ismi geçen NSO için Pegasus, berbat bir şöhret  getirdi.

NSO, İsrail askeri istihbarat servisi AMAN’da teknik istihbarat  faaliyetlerinde temel rolü olan Unit8200 teşkilatından gelen üç kişi tarafından  kuruldu. Niv Carmi, Shalev Hulio ve Omri Lavie tarafından kurulan şirketin ismi,  kurucularının isimlerinin baş harflerinden oluşuyor. Daha sonra Niv Carmi ekipten  ayrıldı ve NSO 2019 yılında İngiltere merkezli yatırım şirketi olan Novalpina  Capital tarafından satın alındı. Niv Carmi’nin yerine Novalpina Capital geçti.  Shalev ile Omri, şirketin üst seviye yöneticileri olarak vazifelerine hala devam  ediyorlar.

2016 yılından itibaren ismini daha çok duyduğumuz NSO, bugün sahip  olduğu bedel bakımından İsrail’in en büyük siber teknoloji şirketi olarak  nitelendirilebilir. Her ne kadar birden fazla yerde Pegasus üzere siber casusluk ürünleri  sağlayan bir şirket olarak bilinse de NSO, Eclipse ismini verdiği bir  “counter-drone” sistemi de geliştiriyor. 2020 yılının başlarında şirket, tekrar bir  öteki İsrail firması olan ve anti-drone teknolojileri üreten Convexum adlı  şirketi 60 milyon dolara satın almıştı. Bu satın almanın akabinde NSO, sadece  altı ayda büsbütün kendi eseri olan Eclipse’i üretti.

Şirketin, Pegasus ve Eclipse dışında iki farklı eseri daha mevcut.  Telefon dinleme ve teknik takip cihazı/aygıtı olan Pixcell ve coğrafik istihbarat  (GEOINT) alanında askeri teknolojilere örnek olan Landmark isminde stratejik  araçlar da geliştiriyor. Pixcell ve Landmark isimli eserler hakkında yalnızca “özel”  görüşmelerde bilgi veriliyor.

NSO’nun en meşhur ve muhtemelen en değerli eseri olan Pegasus, ifşa  olan resmi dokümana nazaran şirketin en stratejik eseri olarak biliniyor. 2021  sayılarına nazaran 45 ülkede kullanıma sunulan Pegasus’u çoğunlukla devletlerin  istihbarat servisleri satın aldı. Pahası net olarak bilinmese de çeşitli  kaynaklarda 30-50 milyon dolar ortası sayılardan kelam ediliyor.

Kamuoyunda makûs şöhretle anılmaya başladığı 2016 yılından itibaren  NSO’ya karşı milletlerarası alanda çeşitli cürüm duyuruları yapıldı. Bunlardan en  bilineni, 2019 yılında WhatsApp tarafından açılan dava. Şirket, günümüzde de  çeşitli devletlerin ve şirketlerin açtığı onlarca davayla uğraş ediyor.

PEGASUS’U BAŞKALARINDAN AYIRAN NEDİR?

Stratejik siber silah olarak tanımlayabileceğimiz Pegasus casus  yazılımı şahıs ya da şirketlere değil, yalnızca devletlerin istihbarat servislerine  ve kolluk kuvvetlerine satılıyor. Satışlar ve başka bütün görüşmeler direkt NSO  uzmanları ile yapılıyor. Bu satışlar da İsrail Savunma Bakanlığı’nın onayından  geçmek zorunda. Yani Pegasus, sırf Tel Aviv idaresinin müsaade verdiği  devletlere satılabiliyor.

Günümüzde 45 ülkede kullanımda olduğu söylenen Pegasus’un, yeniden Tel  Aviv idaresinin talebiyle yalnızca beş ülkeye satışı yapılmıyor; ABD, Rusya, Çin,  İsrail ve İran. Hatta bir öbür bilgiye nazaran Pegasus, kelam konusu beş ülkenin  hudutlarına girdiği anda kendini imha ediyor. Bu özellik, istihbarat fonksiyonu  olan bir teknoloji eseri için stratejik bir husus. Pegasus’un en büyük  özelliklerinden biri de bu tip bir “self-destruction” (kendini imha etme)  niteliğine sahip olması. Öteki yandan NSO şimdiye kadar 90 ülkenin Pegasus’u  satın alma talebini reddetmiş. Burada da Tel Aviv’in çıkarlarının göz önünde  tutulduğu görülüyor.

Pegasus, temel olarak iki farklı metotla gayeye bulaşıyor. Birincisi,  kullanıcı etkileşimi (tıklama vb.) gerektirirken, başkası ise “zero click” olarak  bilinen, WhatsApp üzere uygulamalar üzerinden enfekte olma sistemi. Pegasus casus  yazılımı, (en inançlı olarak bilinenler dahil) dünyada bilinen bütün mobil  aygıtlara bu iki yoldan sızıp onları büsbütün denetim edebiliyor. Yalnızca kamera,  mikrofon ve uygulamalara erişmekle, iletileri okumakla kalmıyor, gaye olan  aygıta büsbütün hükmedebiliyor.

Yıllar evvel ifşa olan NSO dokümanından gördüğümüz bilgilere göre  Pegasus’un sızdığı bir aygıttan elde ettiği bilgiler şu biçimde listelenebilir:

-Telefon davetleri (görüşmeleri anlık olarak dinler ve kayıt alır)

-Kamera ve mikrofon (Anlık olarak etraftan ses ve imaj alır)

-Metin iletileri (SMS’lerin tamamına erişir, okur)

-Chat uygulamaları (WhatsApp üzere programlardaki yazışmaları okur)

-E-postalar (Gelen ve giden e-posta ve eklerini okur)

-Konum bilgileri (Anlık olarak pozisyon takibi yapar, gidilen yerleri  kaydeder)

-Cihaz özellikleri, ayarlar ve şebeke bilgileri

-Rehberde kayıtlı şahıslar

-Web tarayıcı kayıtları (her türlü internet tarayıcısını anlık olarak  izler)

-Takvim aktiflikleri

-Dosya transferleri (alınan ve gönderilen belgeleri okur)

Bütün bunlar Pegasus’un kolay bir casus yazılım değil, stratejik bir  akılla üretilen bir siber silah olduğunun göstergesi. Pegasus’un İsrailli  uzmanlarca “askeri seviyede casus yazılım” olarak tanımlandığını da vurgulamak  gerekir. Son olarak, Pegasus için söylenen şu kelam, onun niteliğini özetliyor:  “Pegasus aygıtınıza bulaşırsa, o aygıt artık sizin değildir.”

PEGASUS, 50 BİN KİŞİYİ İZLEDİ Mİ?

NSO ve Pegasus’tan bahsettikten sonra, tahlile bahis olan temel meseleye  geliyoruz. Geçtiğimiz günlerde “Pegasus Project” başlığıyla birçok yayın kuruluşu  tarafından eş vakitli olarak gündeme taşınan haberlerdeki en sarsıcı konu,  Pegasus’un dünya çapında 50 bin telefona bulaştığı ve muhtemelen tamamını anlık  olarak izlediği argümanıydı. Forbidden Stories ve UAÖ, kelam konusu iddiaların  kaynağı olarak biliniyor. Forbidden Stories ve UAÖ’nün teknik analizlerine  dayandırdığı argümanları daha sonra başka memleketler arası medya kuruluşları da  haberleştirince milletlerarası kamuoyunun dikkati bir anda bu mevzu üzerine  odaklandı.

50 bin telefon numarasının yer aldığı listeden bahseden kelam konusu  kuruluşlar, listenin nasıl ve nereden elde edildiğini açıklamadılar. İddiaları  öne sürerken de ellerinde nasıl bir ispat olduğuna dair açık bilgi/veri  sunmadılar.

Ortalarında Fransa Cumhurbaşkanı Emmanuel Macron, Pakistan Başbakanı  İmran Han üzere onlarca üst seviye devlet görevlisinin, holding işverenlerinin,  gazetecilerin, aktivistlerin ve akademisyenlerin bulunduğu ve 50 bin kişi  içerdiği söylenen liste, temelinde potansiyel maksatlar olarak nitelendiriliyor.  Listenin içeriğine dair bilgiler kısıtlı olarak açıklansa da bunlara dair sunulan  teknik rapor ve ortaya konulan dokümanlar, mevcut haliyle ikna edici olmaktan  uzak kalıyor.

Bu hususta NSO’nun CEO’su ve kurucu ortağı Shalev Hulio da iddiaları  yalanlayan bir açıklama yaptı. Hulio, kendilerine, 50 bin kişilik listenin  sirkülasyonda olduğuna dair muteber yerden bir ihbarın geldiğini tabir ediyor.  NSO’nun Kıbrıs’ta yer alan sunucularının hacklendiğini ve sonrasında kelam konusu  listenin elde edildiğini öğrendiklerini fakat incelemeler sonrası bu türlü bir  listenin varlığı konusunda rastgele bir bulguya ulaşmadıklarını vurguluyor.

Burada bir noktayı da açmak gerekiyor: NSO’nun İsrail dışında Kıbrıs  ve Bulgaristan’da da ofisleri olduğu söyleniyor. İsrailli bir öteki firma olan  Circles, Kıbrıs’ta faaliyet yürüten bir siber istihbarat şirketiydi. Kurucusu Tal  Dilian, Unit8200’de üst seviye yönetici olarak misyon yaptıktan sonra oradan  ayrılıp Circles’ı kurmuştu.

2019 yılında “Casus Panelvan” ismiyle haberlere husus olan Tal Dilian,  şirketi üzerinden Kıbrıs’ta teknik istihbarat faaliyetleri yürüttüğü tespit  edilince üç şahısla birlikte tutuklanmıştı. Şirketin NSO’ya katılmasıyla birlikte  faaliyetlerinin tümü de NSO uzmanlarınca yürütülmeye başlanmıştı. Ama şirketin  karşı karşıya kaldığı problemlerden sonra NSO geçen yıl tüm Circles çalışanlarının  işine son verdi ve Kıbrıs’taki ofisi de kapattı.

NSO’nun CEO’su Hulio, 50 bin kişilik listeyle ilgili argümanların tümünü  birçok sefer yalanladı. “NSO’nun tüm geçmişini alsanız dahi, şirketin kuruluşundan  bu yana Pegasus’ta 50 bin kişi içeren bir maksat listesine ulaşamazsınız,” diyen  Hulio; “Pegasus’un 45 müşterisi var ve müşteri başına yılda yaklaşık 100 hedef  var. NSO’nun tüm Pegasus maksatlarını içeren bir listesi bulunmuyor. Zira şirket,  müşterilerinin sistemi nasıl kullandığını gerçek vakitli olarak bilemez,”  tabirlerini kullandı.

Hulio bu açıklamalara ek olarak şunu da belirtmişti: “Eğer Bin  Ladin üzere bir terörist değilseniz, Pegasus sizi maksat almaz.” Ama tıpkı zamanda  Hulio’nun açıklamalarında başkalarıyla çelişen bir cümle de var:  “Müşterilerimizin kimleri gaye aldığını anlık olarak bilemeyiz. Fakat soruşturma  başlattıktan sonra gereken incelemeleri yapabiliriz. Ters durum olursa, sistemi  kapatırız…” Bu tabirlerden şunu anlayabiliriz: NSO, Pegasus operatörlerinin  (devletlerin) kimleri gaye aldığını nihayetinde kesinlikle bilir ve istediğine  müdahale edip sistemi kapatabilir.

Öteki yandan, Pegasus’un gaye aldığı argüman edilen 50 bin kişilik  listeyi öne süren kaynaklardan biri olan UAÖ, kendi içerisinde de çelişen  açıklamalarda bulundu. UAÖ’nün İsrail temsilcisi, kelam konusu listeyi hiçbir  biçimde NSO ile ilişkilendirmediklerini resmi bir evrakla açıkladı. “İsrail  menşeli bir haber sitesinde yayınlanan bu iddiayı Twitter’da paylaştığımızda  dünya çapında inanılmaz bir tepki gelişti.” UAÖ’nün memleketler arası ofisi  NSO’yu suçlarken, İsrail ofisi aksini söylüyor. Buradan da anlaşılacağı üzere,  baş karıştırıcı açıklamalar yüzünden NSO’nun nitekim toplamda 50 bin kişiyi  maksat alıp almadığı konusu tartışmalı bir sıkıntı olarak kaldı.

TÜRKİYE’DEN KİMLER VAR?

Pegasus’un dünya çapında maksat aldığı isimlere dair haberler 2016  yılından beri teknik raporlarda açıklanıyor. Bugüne kadar onlarca gazeteci,  aktivist, avukat, siyasetçi, kabahat örgütü önderi ve teröristin maksat alındığı  biliniyor. Pegasus’un yalnızca terörle ve milletlerarası hatalarla çaba amacıyla  geliştirildiğini söyleyen NSO yöneticileri, muhalif gazeteci, siyasetçi ya da  öbür meslek kümelerinin neden amaç olduklarına dair ikna edici açıklamalar  yapamıyorlar.

Elli bin kişilik listeye gelince tekrar birebir durumla karşı karşıyayız.  Listede yer alan isimlerin hiçbirinin terör örgütü/suç örgütü üyesi olmadığı  söyleniyor. Devlet liderleri, siyasetçiler ve üst seviye bürokratların yer aldığı  listede Türkiye’den de birtakım isimlerin olduğu lisana getiriliyor.

2018 yılında Cemal Kaşıkçı vahşice öldürüldükten sonra, Kaşıkçı’yla  birlikte yakın arkadaşı gazeteci Ömer Abdülaziz, eski eşi El Atr ve nişanlısı  Hatice Cengiz’in telefonlarının Pegasus’la amaç alındığı açıklanmıştı. Kanada’da  yaşayan Abdülaziz, bu savları çok kere doğrulamıştı. Hulio, başka argümanlar gibi  bunların da tamamını reddediyor.

Dünyanın konuştuğu tezler, geçtiğimiz günlerde ortaya atılan  listedeki birtakım isimlerin açıklanmasını takiben Türk kamuoyunun da dikkatini  çekti. Kaşıkçı cinayetini soruşturan eski İstanbul Cumhuriyet Başsavcısı İrfan  Fidan, AK Parti Genel Lider Danışmanı Yasin Aktay ve gazeteci Turan Kışlakçı  listede bilinen isimler olarak öne çıktılar.

Savların hakikat olup olmadığını net olarak bilen tek merci NSO’nun  kendisi. Lakin ismi geçen isimlerin de mevzu hakkında bilgisi olması beklenen.  Başka yandan istihbarat kurumlarının da Pegasus’un ülkemizdeki aktivitelerine  dair bilgiye sahip olduğu düşünülüyor.

PEGASUS VE BENZERLERİNİN GİDİŞİ NEREYE?

Dünya siber silah pazarının geldiği nokta epey telaş verici. Hem  bireyler ve devletler hem de şirketler ve memleketler arası örgütler bazında büyük  tehlikeler kelam konusu. Pegasus üzere siber casusluk araçlarının kimler tarafından  ne hedefle kullanıldığı net olarak bilinmediği için bilhassa devletler büyük  tehdit altındalar.

Ulusal güvenlik problemi olarak görülebilecek bu çeşit siber silahlar,  iki düşman devletin birbirine karşı kullanabileceği bir silah haline gelebilir.  Hatta barış periyotlarında bile devletler, pratik ve süratli olmaları nedeniyle bu  tıp “dijital casuslara” istihbarat toplama maksadıyla başvurabilir.

Buraya kadar anlattıklarımız yalnızca Pegasus değil, öteki casus  yazılımlar için de geçerli olabilir. Bu durum, siber silah endüstrisinin  gidişatının korkutucu boyutuna işaret ediyor. Bu korkutucu gidişata “dur” diyecek  olanlar ise yalnızca devletler.