1 puan yazan GN⁺ 6 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Yunan araştırmacı gazeteci kökenli eski Avrupa Parlamentosu üyesi Stelios Kouloglou’nun iPhone’unun, PEGA Committee faaliyetleri sırasında Pegasus ile tekrar tekrar enfekte edildiği doğrulandı
  • Enfeksiyon zamanları 21 Ekim 2022 ile 6–7 Mart 2023 olarak belirlendi; bu tarihler, duruşmalar, rapor taslakları ve ülke ziyaretleri hazırlıkları gibi gizli iletişimin yoğun olduğu dönemlerle çakışıyor
  • İlk enfeksiyon, HomeKit e-postası rauharepo888[@]gmail.com görüntülendikten hemen sonra Pegasus sürecinin mobil veri kullanmasıyla ilişkilendiriliyor ve PWNYOURHOME sıfır tıklama açığıyla gerçekleştirilen bir saldırı olarak değerlendiriliyor
  • Belirli bir hükümet fail olarak işaret edilmedi ve Yunan hükümetinin sorumluluğunu gösteren bir belirti de yok; ancak aynı HomeKit e-postası, Rusça ve Belarusça konuşan sürgündeki gazeteci ve aktivistleri hedef alan Pegasus kampanyalarında da görüldü
  • Avrupa Parlamentosu üyeleri ve personelinin cihazlarında kapsamlı inceleme yapılmadan, PEGA Committee’nin gizli yazışmalarının ve parlamento süreçlerinin kiralık casus yazılım karşısında ne kadar açığa çıktığını anlamak zor

PEGA Committee çalışmaları sırasında doğrulanan Pegasus enfeksiyonu

  • Stelios Kouloglou, 2015’te Avrupa Parlamentosu’na giren, Yunan araştırmacı gazeteci kökenli bir siyasetçidir
  • 24 Mart 2022 ile 18 Temmuz 2023 arasında, Pegasus ve benzeri gözetim casus yazılımlarının kullanımını araştıran Avrupa Parlamentosu PEGA Committee’de yedek üye olarak görev yaptı
  • PEGA Committee, 2021’deki Pegasus Project ve ilgili haberlerin ardından, Avrupa hükümetlerinin gazetecileri, aktivistleri, siyasetçileri ve vatandaşları gözetlediğine dair ifşalar üzerine 10 Mart 2022’de kuruldu
  • Komitenin görevi, AB yasalarını ihlal eden casus yazılım kullanımının kapsamını araştırmaktı ve inceleme konusu “Pegasus and equivalent surveillance spyware” idi

iPhone adli inceleme sonuçları

  • 2026 Mayıs’ında Kouloglou, Citizen Lab ile iletişime geçti ve iPhone artefaktları üzerinde yapılan adli inceleme Pegasus enfeksiyonunu doğruladı
  • Yüksek güvenle doğrulanan enfeksiyon zamanları 21 Ekim 2022 civarı ile 6–7 Mart 2023 oldu
  • 21 Ekim 2022 enfeksiyonu

    • Saat 10:16’da HomeKit e-posta adresi rauharepo888[@]gmail.com görüntülendi ve iki dakika sonra Pegasus sürecinin mobil veri kullandığı görüldü
    • Bu enfeksiyonun PWNYOURHOME sıfır tıklama açığı üzerinden gerçekleştirilen bir hack olduğu değerlendiriliyor
    • PWNYOURHOME’un, saldırganın özel hazırlanmış bir NSKeyedArchive’ı HomeKit’e göndermesi ve ardından zararlı içeriğin MessagesBlastDoorService’e ulaşması şeklinde çalıştığı düşünülüyor
    • Apple, iOS 16.3.1’de HomeKit ile ilgili sorunu hafifletti; MessagesBlastDoorService sorununun ise daha önce, muhtemelen iOS 16.1’de düzeltildiği değerlendiriliyor
  • 6–7 Mart 2023 enfeksiyonu

    • 6 Mart 2023 saat 09:49 ile 7 Mart saat 07:30 arasında da Pegasus faaliyeti doğrulandı ve bunun da aynı exploit ile ilişkili olabileceği düşünülüyor
    • 2022 ve 2023’teki enfeksiyonlar sırasında cihazın iOS 15.5 (19F77) çalıştırdığı değerlendiriliyor
    • Mevcut adli verilerin sınırlılığı nedeniyle tespit edilemeyen ek enfeksiyonlar olasılığı dışlanamıyor

Apple tehdit bildirimleri ve kullanıcının farkındalık sorunu

  • Adli incelemeye göre Kouloglou, Apple’ın kiralık casus yazılım hedefleme tehdit bildirimini üç kez aldı
    • 2 Mart 2023
    • 29 Ağustos 2023
    • 10 Nisan 2024
  • Apple ve diğer şirketlerin tehdit bildirimleri gerçek zamanlı uyarılar değildir; genellikle hedeflemeden aylar sonra toplu gönderim şeklinde iletilir
  • Kouloglou, gözlemlenen Apple bildirimlerini aldığını hatırlamadığını söyledi
  • Birden fazla tehdit bildirimi alan kişiler bile bunları fiilen fark etmeyebilir

İlk enfeksiyon zamanı: rapor taslağı, duruşmalar ve ülke ziyareti hazırlıklarıyla çakışma

  • İlk enfeksiyon tarihi olan 21 Ekim 2022, PEGA Committee’nin görüşme ve soruşturma faaliyetlerinin özellikle yoğun olduğu bir döneme denk geliyor
  • Enfeksiyonun hemen ardından şu duruşmalar planlanmıştı
    • “Big Tech and Spyware” — 26 Ekim 2022
    • “Spyware and e-privacy” — 26 Ekim 2022
    • Casus yazılım ve temel haklarla ilgili duruşma — 27 Ekim 2022
  • Komite aynı zamanda ilk rapor taslağının yayımlanmasına hazırlanıyordu ve taslak üyeler ile danışmanlar arasında tartışılıyor, dolaşıma sokuluyordu
  • Kouloglou, ilk enfeksiyon tarihinin kısa mesajlar ve e-posta merkezli yoğun tartışma ve iletişim dönemiyle çakıştığını doğruladı
  • İlk PEGA Committee rapor taslağı, 8 Kasım 2022’de milletvekili Sophie in ’t Veld tarafından sunuldu
    • Taslak, Polonya, Macaristan, Yunanistan, Kıbrıs ve İspanya’daki casus yazılım iddialarını ele alıyordu
  • PEGA Committee ayrıca 1–4 Kasım 2022 tarihlerindeki Yunanistan ve Kıbrıs ziyaretine hazırlanıyordu; Kouloglou planlama ve ziyarete katıldı
  • Cihaz, bu ziyaretin başlamasından 10 gün önce hacklendi ve o sırada ziyaretle ilgili yazışmalar sürüyordu

Hastanede enfeksiyon ve tıbbi bilgilerin açığa çıkma ihtimali

  • 21 Ekim 2022’deki enfeksiyon günü, Kouloglou planlı bir ameliyat için Yunanistan’daki bir hastanede yatıyordu
  • Yunan araştırmacı gazeteci Thanasis Koukakis hastane odasını ziyaret etti
    • Koukakis, Yunanistan’daki kiralık casus yazılım meselesini yakından takip eden bir isimdir
    • Bir önceki ay PEGA Committee’de ifade verdi
    • Mart 2022’de Citizen Lab, Koukakis’in Intellexa’nın Predator casus yazılımı tarafından hedef alındığını doğruladı
  • Enfeksiyon hastane yatışı sırasında gerçekleştiği için, odadaki konuşmaların veya sağlık personeliyle yapılan görüşmelerin, ayrıca randevu, test sonucu ve tanı gibi sağlıkla ilgili bilgilerin cihazdan ele geçirilmiş olma ihtimali bulunuyor
  • Yunan hukukunda sağlık verileri özel nitelikli kişisel veri olarak daha güçlü koruma altındadır ve bu hack olayı, Yunan ceza hukukunda Law 4624/2019 kapsamındaki tıbbi bilgi gizliliğiyle ilişkili olabilir

İkinci enfeksiyon zamanı: nihai rapor tartışmalarıyla çakışma

  • İkinci enfeksiyon 6–7 Mart 2023 tarihlerinde gerçekleşti
  • Kouloglou’ya göre bu dönemde PEGA Committee, nihai taslağın hazırlanmasıyla ilgili yoğun görüşmeler yürütüyordu
  • Kouloglou, 6 Mart 2023’te Atina’dan Brüksel’e geçti ve enfeksiyon süresi olan 6–7 Mart’ta Brüksel’deydi
  • Aynı dönemde PEGA raportörü Sophie in ’t Veld, LIBE Committee göreviyle Yunanistan’daydı
    • LIBE Committee, insan hakları, veri koruma, iltica, göç ve ayrımcılık karşıtlığıyla ilgili yasama ve demokratik denetimden sorumlu Avrupa Parlamentosu daimi komitesidir
    • Bu görev kapsamında LIBE heyeti, Yunanistan’daki casus yazılım skandalı hakkında Yunan Ulusal Şeffaflık Kurumu başkanı ve yetkililerine sorular yöneltti
  • İkinci enfeksiyonun ardından PEGA duruşmaları ve İspanya soruşturma ziyareti devam etti, ancak Kouloglou İspanya ziyaretine katılmadı
  • Bu enfeksiyon, ilk PEGA Committee raporunun 8 Mayıs 2023’te kabul edilmesinden yaklaşık iki ay önce meydana geldi
  • Kouloglou ile Thanasis Koukakis, 6–7 Mart 2023 civarında WhatsApp üzerinden geçici bir buluşma planlamıştı, ancak yüz yüze görüşme gerçekleşmedi

Avrupa Parlamentosu üyelerini hedef alan casus yazılım vakaları

  • Kouloglou, PEGA Committee görev süresi içinde Pegasus mağduru olduğu kamuya açık şekilde doğrulanan ilk komite üyesi oldu
  • PEGA Committee kurulmadan önce de Avrupa Parlamentosu üyelerini hedef alan kamuya açık vakalar vardı
    • Katalan AP üyesi Diana Riba’nın cihazı Ekim 2019’da enfekte edildi
    • Katalan AP üyesi Jordi Solé, Avrupa Parlamentosu koltuğunu üstlenmesinden hemen önce Haziran 2020’de hedef alındı
    • Clara Ponsati ve Carles Puigdemont, danışmanları veya aile üyeleri üzerinden hedef alındı
  • Riba, Solé ve Puigdemont daha sonra PEGA Committee’ye katıldı ve komiteye deneyimlerini anlattı
  • PEGA Committee dışında da Avrupa Parlamentosu’nu hedef alan vakalar sürdü
    • Şubat 2024’te Politico, güvenlik ve savunma alt komitesindeki üyelerden, iki cihazda casus yazılım izleri bulunmasının ardından telefonlarını incelemeye vermelerinin istendiğini bildirdi
    • Fransız AP üyesi Nathalie Loiseau, Pegasus tarafından hedef alındığını doğruladı
    • Avrupa Parlamentosu IT Services, Bulgar AP üyesi Elena Yoncheva’ya cihazının Ekim 2023 sonlarında hedef alındığını bildirdi
    • Mayıs 2024’te Alman AP üyesi Daniel Freund, Candiru’nun kiralık casus yazılımı tarafından hedef alındığını açıkladı

Fail değerlendirmesi ve kalan sınırlamalar

  • Kouloglou’nun cihazının NSO Group’un Pegasus kiralık casus yazılımı tarafından hedef alınıp enfekte edildiği değerlendirmesi yüksek güven düzeyine sahip
  • Belirli bir NSO Group müşterisi fail olarak işaret edilmiyor
  • Yunan hükümetinin bu hack’in faili olduğuna dair bir belirti yok
    • Yunanistan’ın NSO Group müşterisi veya Pegasus kullanıcısı olduğuna dair bir rapor bulunmuyor
    • Yunan hükümetinin Intellexa’nın Predator kiralık casus yazılımını geniş çapta kötüye kullandığı bilinse de, Yunan güvenlik veya istihbarat kurumlarının Pegasus erişimine sahip olduğuna dair teknik bir gösterge yok
  • Kouloglou’nun 2022’de hedef alınması ile Mayıs 2024’teki Access Now ortak raporunda yer alan hedeflemeler arasında bir bağlantı var
    • Söz konusu rapor, Avrupa merkezli Rusça ve Belarusça konuşan bağımsız gazeteciler ile muhalif aktivistlerden 7 kişinin Pegasus ile hedef alındığını veya enfekte edildiğini ele alıyor
    • Bu raporda anonimleştirilmiş Apple ID’lerden biri olan rauharepo888[@]gmail.com, Kouloglou’yu hedef alan HomeKit e-postasıyla aynı
    • Bu dönemde Pegasus enfeksiyon altyapısına dair mevcut anlayışa göre, bu tür e-postaların belirli bir operatöre özgü olduğu değerlendiriliyor
  • 2023’teki ikinci enfeksiyonun aynı operatörle mi yoksa farklı bir operatörle mi bağlantılı olduğu doğrulanamıyor
  • Enfeksiyonların en az iki Avrupa yargı alanında, yani Yunanistan ve Belçika’da bulunduğu anlaşılıyor
  • NSO Group lisanslarına dair mevcut bilgiye göre bu, birden fazla AB yargı alanında enfeksiyon gerçekleştirebilen lisansa sahip bir müşteriye işaret ediyor olabilir

Demokratik süreçler ve parlamento gizliliği üzerindeki etkiler

  • PEGA Committee üyesinin cihazının enfekte edilmesi, komite faaliyetleri sırasında kesin gizlilik gerektiren yazışmaların ve hassas parlamento süreçlerinin açığa çıkmış olabileceği anlamına geliyor
  • Açığa çıkmış olabilecek içerikler arasında PEGA Committee üyeleri ile danışmanları arasındaki yazışmalar ve komitenin soruşturduğu taraflarla ilgili hassas süreçler yer alabilir
  • Diğer PEGA Committee üyeleri ve danışmanlarının cihaz durumları bilinmediği için kapsamlı inceleme olmadan benzer enfeksiyonların olup olmadığını belirlemenin bir yolu yok
  • Bu vaka, kiralık casus yazılımın demokratik süreçlerin bütünlüğüne yönelik tehdidini ortaya koyuyor
  • Avrupa Parlamentosu üyelerinin cihazlarının kiralık casus yazılımla hedef alınması veya hacklenmesi ilk kez yaşanmıyor; bu durum, düzenlenmemiş kiralık hack faaliyetlerinin aşındırıcı niteliğini gösteriyor

Öneriler

  • AB kurumları, AB verileri ve süreçlerine yönelik ihlalin kapsamını ve ölçeğini belirlemek için derhal soruşturma başlatmalı
  • AP üyeleri ve danışmanlar

    • PEGA Committee’ye katılan AP üyeleri ve danışmanlar derhal casus yazılım enfeksiyonu adli incelemesinden geçirilmeli ve hedef alınmış olabilecek iş ve kişisel cihazlarını koruma altına almalı
    • Directorate-General for Information Technologies and Cybersecurity (DG ITEC) casus yazılım incelemesi sağlıyor
    • Devlet destekli saldırı uyarılarına dikkat edilmeli ve uyarı alınırsa hızla uzman desteği alınmalı
    • AB AP üyeleri, iPhone’da Lockdown Mode ve Android’de Advanced Protection özelliğini etkinleştirmeli
    • Bu mod, cihazın kiralık casus yazılıma karşı korunmasını önemli ölçüde artırır
    • DG ITEC ek siber güvenlik rehberliği sağlayabilir
  • Avrupa Parlamentosu ve AB kurumları

    • Avrupa Parlamentosu, AP üyelerini ve parlamento süreçlerini hedef alan casus yazılım saldırılarını derhal soruşturmalı
    • Bu saldırıların üzerinden zaman geçtiği için, adli izlerin kaybını önlemek adına hızlı soruşturma gerekiyor
    • Parlamento, Parliament ve üyelerine yönelik siber ve gözetim tehditlerini ele alan yıllık bir rapor hazırlatmalı
    • Bu rapor European Parliamentary Research Service veya başka bir kurum tarafından yazılabilir
    • DG ITEC, cihaz inceleme oranını ciddi biçimde yükseltecek bir plan hazırlamalı ve incelenen cihaz sayısı ile tespit oranlarına ilişkin yıllık istatistikler yayımlamalı
    • DG ITEC, Apple ve Google gibi şirketlerin devlet destekli saldırı uyarıları hakkında AP üyeleri ve danışmanlara düzenli olarak somut rehberlik dağıtmalı
    • Avrupa Komisyonu, komiserler ve personelin kiralık casus yazılım tarafından hedef alınıp alınmadığını belirlemek için kendi soruşturma ve incelemelerini yapmalı
    • Commission’ın DG DIGIT birimi, düzenli incelemelerle birlikte kapsamlı casus yazılım inceleme ve müdahale kapasitesi kurmalı
  • PACE, ulusal parlamentolar ve teknoloji şirketleri

    • Parliamentary Assembly of the Council of Europe (PACE), Avrupa’daki kiralık casus yazılım istismarına ilişkin geçmiş komite çalışmalarını dikkate alarak üyeleri ve personelinin hedef alınıp alınmadığını araştırmalı
    • Council’ın Directorate of Information Technology birimi, benzer kurumlarla istişare içinde PACE üyeleri ve personelinde kiralık casus yazılım hedeflemesi belirtilerini düzenli olarak incelemeli
    • Ulusal parlamentoların güvenlik birimleri ve denetim organları, DG ITEC’in milletvekili inceleme yöntemlerini model alarak üyeleri korumalı
    • Teknoloji şirketleri, tehdit bildirimi alan kişilerin uyarıları gerçekten görmesini, anlamasını ve harekete geçebilmesini sağlamak için UX araştırmaları dahil bildirim yöntemlerini iyileştirmeli

1 yorum

 
GN⁺ 6 시간 전
Hacker News yorumları
  • Mayıs 2026'da Kouloglou'nun Citizen Lab ile iletişime geçtiği; iPhone'undan elde edilen izlerin adli analizinde 21 Ekim 2022 civarında ve 6-7 Mart 2023'te Pegasus casus yazılımı bulaşmasının başarılı olduğuna dair yüksek güven oluştuğu anlatılıyor

    • Biz de kendi telefonumuza adli analiz yaptırıp Pegasus'a sahip birinin bizi hedef alıp almadığını öğrenebilir miyiz merak ediyorum
    • Apple'ın tehdit bildirimlerinin gerçek zamanlı olmadığı, genelde hedefli saldırı gerçekleştikten aylar veya daha uzun süre sonra toplu gönderildiği açıklaması kilit nokta gibi görünüyor
      Kouloglou, Citizen Lab'in doğruladığı Apple bildirimini aldığını hatırlamadığını söylemiş; bunu Apple'ın ona izlendiğini bildirdiği ama onun bunu görmezden geldiği şeklinde mi anlamalıyız emin değilim
  • Apple ve diğer şirketlerin tehdit bildirimlerinin gerçek zamanlı olmaması, genelde hedefli saldırılardan aylar veya daha fazla süre sonra toplu gönderilmesi şoke edici
    Apple tehdidi tespit edebiliyor ama kaldırmıyor ya da engellemiyor, kullanıcıya haber vermeden önce aylarca sessizce bekliyorsa buna güvenlik tiyatrosu denmez de ne denir bilmiyorum

  • İlk bulaşmanın Avrupa'daki Rusça ve Belarusça konuşan sürgün gazeteci ve aktivistleri hedef alan mevcut Pegasus kampanyasıyla çakışması ilginç
    Soru şu: “birden fazla Avrupa ülkesinde gözetleme yetkisine” sahip Pegasus müşterisi kim?
    Bahsedilen Rus sürgünleri vakasıyla ilgili eski yazıda [0], Hollanda ve Estonya'nın sınırlarının dışında Pegasus kullandığı belirtiliyor; ama böyle lisansa sahip başka yerler de olabilir
    Rus sürgünleri vakası ile Kouloglou vakası aynı saldırı yöntemiyle bağlantılıysa Estonya gibi bir ülke daha olası görünüyor. Ancak Pegasus erişim yetkisi olan bir kurumun, yetkisi olmayan bir kurumla işbirliği yapmış ya da onun yerine kullanmış olma ihtimali de her zaman var
    [0] https://www.accessnow.org/publication/hacking-meduza-pegasus...

  • Bunun büyük monolitik çekirdek, gereksiz telemetri ve pazarlama servisleri, eski API'ler, C gibi güvensiz diller, statik analiz eksikliği gibi yazılım mimarisi tercihlerinin bir sonucu olup olmadığını düşünüyorum
    Telefonları zaten enfekte olmuş arazi gibi görmek ve önemli şeyleri oraya koymamak gerekir
    Bazı liderler zaten akıllı telefon kullanmıyor ve bu yüzden elektronik casus yazılımlardan korunuyor

    • Akıllı telefonlar iki faktörlü kimlik doğrulamada kullanıldığı ve her servisin web arayüzü sunmadığı düşünülünce bu zor
      Bazı bankalar, sohbet, flört ve Uber gibi servisler yalnızca mobil destekliyor
  • O dönem Yunan siyasetçilerin telefonlarının çoğu Pegasus ile hacklenmişti
    Yunanistan'da hâlâ tam çözülmemiş bir skandal ve tüm kanıtlar bunun yerel istihbarat kurumuyla koordineli olarak başbakanlık ofisi tarafından yürütülen bir operasyon olduğunu gösteriyor
    Bu yüzden buna Avrupa Parlamentosu'na yönelik bir saldırı demenin zor olduğunu düşünüyorum

  • İlginç olan, aynı telefon üzerinden hem kişisel tıbbi gizli bilgilerin hem de hükûmetin gizli belgelerinin sızmış olabileceğini ima etmesi
    Avrupa Parlamentosu'nda iş cihazları ile kişisel cihazları ayırmaya yönelik bir politika yok mu?

    • Politikanın olmasıyla gerçekte yaşananlar çoğu zaman çok farklıdır
      İş zamanı ile kişisel zamanın sık sık bulanıklaştığını düşününce anlaşılır
    • Benim anladığım kadarıyla, enfekte olmuş iş telefonunu hastaneye götürmüş ve endişe, bu telefonun kişisel tıbbi bilgiler içeren bir konuşmayı kaydetmiş olabileceği yönünde
      Tıbbi bilgiler telefonun içinde değildi
  • Katalonyalı Avrupa Parlamentosu üyeleri de Pegasus hedefi olmuştu; ayrıntıları hatırlamıyorum ama o dönemde müşteriler yalnızca devletlerdi, yani İspanya hizmeti kiralamış sayılır
    Hiçbir şey olmadı

  • Yakında birilerine bir şey dayatan bir yasayı aceleyle çıkarırlar ya da birine büyük bir ceza kesip işi hızla kapatırlar gibi geliyor
    Birileri sorumluluk almak zorunda

  • iOS'un Lockdown Mode'u bunu engelleyebilir mi?

    • Muhtemelen evet, Lockdown Mode'un amacı da bu
      Ancak saldırı yüzeyini azaltmak için akıllı telefonu bilerek oldukça aptal bir telefona dönüştürüyor
      Pratik olduğu durum, yalnızca mesajlaşma, normal telefon şebekesi üzerinden arama yapma/alma ve saati kontrol etme gibi basit bir cihaza ihtiyaç duyduğunuz zamanlar
  • Bağlam olarak, bazı Avrupa ülkeleri Pegasus gibi casus yazılımları o kadar fazla kötüye kullandı ki İsrailli şirketler ilişkiyi kesecek noktaya geldi; aşağıdaki İtalya örneği bunlardan biri
    Başkaları Yunanistan ve Polonya'dan da bahsetti
    Bir Avrupa Parlamentosu üyesinin, masum gazetecilerin, aktivistlerin ve belki de sıradan insanların maruz kaldığı gözetimin aynısına hedef olması gülünç
    Üstelik bunu AB üyesi ülkeler yapıyor ve İsrailli şirketlerin kötü amaçlı yazılım geliştirmesine ve yaymasına doğrudan katkıda bulunuyorlar
    https://www.bbc.com/news/articles/cvgmzdjw24yo

    • Kamuoyu ayağa kalktıktan sonra ilişkiyi kesmek daha çok hasar kontrolü gibi geliyor
      Aynı kişilere ürünün başka alt bayiler üzerinden hâlâ sağlanacağını tahmin ediyorum