İsrailli gözetim teknolojileri şirketi Intellexa’nın geliştirdiği Predator isimli casus yazılımın, yalnızca mobil reklamların görüntülenmesiyle akıllı telefonlara bulaştığı ortaya çıktı. Yani herhangi bir bağlantıya tıklamak gerekmiyor; reklam ekranda bir kez belirdiğinde bile telefonun tüm kapıları açılmış oluyor.
Sızdırılan iç dokümanlar, eğitim videoları ve pazarlama materyalleri, şirketin yıllardır perde arkasında yürüttüğü operasyonlara dair bugüne kadar görülmemiş ayrıntılar sunuyor. Bağımsız araştırmacılar, Intellexa’yı “en kötü şöhretli casus yazılım satıcılarından biri” olarak tanımlarken, Amnesty International da belgelerin gerçekliğini doğruladı.
Predator’ın zaman zaman farklı isimlerle pazarlandığı da anlaşılıyor: Helios, Nova, Green Arrow, Red Arrow… Hepsi aynı gölge sistemin parçaları.
Teknik analizlere göre Predator bulaştığında cihazın neredeyse tüm bileşenleri operatörün kontrolüne geçiyor. Kamera, mikrofon, mesajlar, e-postalar, konum verileri, fotoğraflar… Ne varsa erişiliyor. Üstelik tüm trafik, “CNC Anonymization Network” adı verilen bir sunucu zincirinden geçirilerek operatörün kimliği gizleniyor.
Normal şartlarda böyle saldırılarda kurbanın bir bağlantıya tıklaması gerekir. Ancak Intellexa, bu gerekliliği ortadan kaldıran farklı yöntemler geliştirmiş. İç sunumlarda, şirketin bazı internet servis sağlayıcılarıyla bu amaçla işbirliği yaptığı, hatta kapasite satın aldığı bile görülüyor. Böylece “ek bir zero-click açığa gerek kalmadan” sıfır tıklama benzeri enfeksiyonlar mümkün hâle geliyor.
Amnesty International’ın araştırmaları, reklam tabanlı bu saldırı tekniğinin yalnızca Intellexa’ya özgü olmadığını, başka casus yazılım şirketleri ve bazı devlet aktörleri tarafından da kullanıldığını doğruluyor. Görünmez biçimde tarayıcı açıklarını tetikleyen bu yöntem, uzmanlara göre daha da yaygınlaşacak.
Google’ın Threat Analysis Group (TAG) birimi, Intellexa’nın kullandığı 15 farklı sıfır gün açığını tespit etti. Şirket bu açıkları, çoğu bağımsız hacker gruplarından satın alıyor ve güvenlik araştırmacıları durumu fark edip yama yayınlayana kadar saldırılarda kullanıyor.
Bu tür açıkların fiyatı hedefe göre değişiyor. Chrome’da sandbox atlatabilen, geniş ölçekte sömürülebilen RCE açıkları 100–300 bin dolar arasında satılırken daha karmaşık zincirler milyon dolarlara ulaşabiliyor. Zerodium’un 2019’da Android ve iOS için tam zero-click zincirlere milyonlarca dolar teklif ettiği biliniyor. Bu nedenle Predator gibi araçlar yalnızca devlet kurumlarının karşılayabileceği kadar pahalı.
Google TAG ve Citizen Lab’in 2023’te yaptığı ortak çalışma, Mısır’daki hedeflere yönelik bir iOS sıfır gün zincirinin de Intellexa’ya ait olduğunu ortaya koymuştu.
Intellexa’nın reklam ağlarını kötüye kullanarak hedefleri belirlemesine yardımcı olan bir başka unsur “parmak izi çıkarma” teknikleri. Üçüncü taraf reklam sağlayıcıları üzerinden kullanıcı profilleri toplanıyor, ardından uygun durumda olanlar istismar sunucularına yönlendiriliyor.
En çok dikkat çeken saldırı aracı ise hâlen aktif olduğu düşünülen Aladdin. Bu mekanizma, tamamen sıradan görünen bir reklam üzerinden çalışıyor. Eğer reklam kullanıcı profiliyle eşleşiyorsa, herhangi bir tıklama olmadan zararlı kod otomatik olarak devreye giriyor. Kullanıcı için her şey olağan görünüyor; o sırada cihaz çoktan ele geçirilmiş oluyor.
Sızdırılan belgeler arasında en tartışmalı olanlardan biri, Intellexa personelinin TeamViewer üzerinden bazı hükümet müşterilerinin gözetim panellerine bağlanabildiğini gösteren görüntüler. Videoda Predator’ın kontrol ekranı, fotoğraflar, mesajlar ve diğer tüm izleme verilerinin yer aldığı depolama sistemi açık biçimde görülebiliyor.
Araştırmacılar, videoda Kazakistan’daki bir hedefe yönelik gerçek zamanlı enfeksiyon girişiminin ayrıntılarıyla yer aldığını söylüyor. Hedefin IP adresi, yazılım sürümleri, bağlantı zinciri… Hepsi kayıt altında.
Bu durum, yıllardır dile getirilen “müşteri verilerine erişimimiz yoktur” savunmalarını yerle bir ediyor. Sektörün deneyimli isimleri bile bu tür bir uzaktan erişimi “kesinlikle normal dışı” olarak değerlendiriyor.
Skandalın yankıları sürerken iki büyük teknoloji şirketi de kullanıcılarına yeni tehdit bildirimleri gönderdiklerini duyurdu.
Apple, 2 Aralık’ta gönderdiği uyarılarda saldırı girişimlerinin arkasındaki aktörlere dair ayrıntı paylaşmazken, bugüne kadar 150’den fazla ülkede kullanıcıları bilgilendirdiğini belirtti.
Google ise Intellexa ekosistemini kullanan saldırganlar tarafından hedef alınan tüm bilinen hesapları uyardığını açıkladı. Etkilenen kullanıcıların Pakistan, Kazakistan, Angola, Mısır, Özbekistan, Suudi Arabistan ve Tacikistan gibi ülkelerde bulunduğu ifade edildi. Şirket, “etkilenen hesap sayısının birkaç yüz olduğunu” paylaştı.
Predator gibi casus yazılımlar herkesi hedef almıyor; genelde belirli kişi ve kurumlara yöneliyor. Ancak uzmanlara göre yine de dikkatli olmak şart.
Reklam engelleyici kullanmak birçok saldırı türüne karşı ekstra koruma sağlıyor.
Cihazı güncel tutmak hayati önem taşıyor; Intellexa’nın saldırılarının çoğu kapatılmamış sıfır gün açıklarına dayanıyor.
Şüpheli mesajlardan uzak durmak gerekiyor. Bilmediğiniz bir kaynaktan gelen e-postayı açmak bile risk oluşturabilir. Hele ki bağlantıya tıklamak… Tam bir davetiye.
Google Play
App Store