*AccessNow’ın 14 Mayıs 2018 tarihli ‘Türkiye-FinSpy Raporu’ndan
Özetleyen: Derya Güçdemir, H.Ü.SBE. Y.lisans öğrencisi
Alman şirketi FinFisher, geliştirdikleri FinSpy isimli kötü yazılımı Türkiye’deki Adalet Yürüyüşü protestolarına ve muhalif görüşlere karşı kullanmış olmakla suçlanıyor.
Kullanıcıların dijital haklarını savunmayı hedefleyen Access Now’ın yayınladığı rapora göre, FinFisher’ın geliştirdiği kötü yazılım saldırıları sonucunda, yazılımı mobil cihazları hedefleyerek toplum mühendisliği[1] kampanyalarının bir parçası olarak kullandı ve saldırıların ölçeğini ve saldırganlığını artıran taktikler kullanarak Adalet Yürüyüşü protestolarında ana muhalefet partisini hedefledi.
Almanya, Münih’de 2008 yılında kurulan FinFisher, web sitesinde terör ve suçu engellemek ve araştırmak için kolluk kuvveti ve istihbarat kurumu ile özellikle işbirliğinde bulunduğunu, yazılımlarını yerleştirme yöntemlerinin en yeni bilgisayarlar, akıllı telefonlar, tabletler ve en çok kullanılan işletim sistemlerini kapsadığını ve kendilerinin hükümete bilgi teknolojileri ihlali ve uzaktan izleme çözümleri sağladığını belirtmektedir. Misyonlarının organize suça karşı başarılı operasyonlar gerçekleştirmek için birinci sınıf bilgi ve siber çözümler sağlamak olduğunu ve nötr değer (value-neutral) taşıyan teknolojiler ürettiklerini söyleseler de, teknolojilerinin baskıcı rejimler tarafından kullanılması ve ürünlerini insan haklarını ve bilginin özgürlüğünü ihlal etmek için kullanmış olan ve kullanan hükümetlere satmasından[2] dolayı demokrasi, insan hakları ve ifade özgürlüğü konularında eleştirilerin hedefi haline gelmiştir.
Peki, saldırı nasıl gerçekleşti? Casus yazılımın kişilere yayılmasını sağlamak amacıyla, yürüyüşün orijinal web sitesi olduğu iddia edilen ‘adaleticinyuru.com’ isimli siteye internet trafiğini yönlendirmek için Twitter hesapları açtılar. Bu Twitter hesaplarından, protestoyu destekler paylaşımlarda bulunan kişiler, yürüyüş ile ilgili popüler etiketler kullanarak, insanlara cevap vererek, insanları iktidar partisine karşı direnmek için cesaretlendirerek ve kötü amaçlı siteye link ile yönlendirerek web sitesinin tanınırlığını ve yayılımını artırdı. Facebook’da da aynı kötü amaçlı link paylaşıldı. Bunun asıl amacı insanları kötü niyetli siteye çekmek ve CHP’nin Twitter hesaplarını hedeflemek olsa da, aynı zamanda takip kitlesi küçük ya da büyük fark etmeksizin yürütüşte bulunan herhangi bir Twitter kullanıcısına FinSpy isimli kötü amaçlı yazılımı sevk etmekti.
Saldırıda kullanılan sahte Adalet Yürüyüşü sayfası, ziyaretçileri bir çeşit Android uygulaması olduğu sanılan uygulamayı indirmeye ikna etmek için tasarlanmıştı. Uygulamanın tam olarak ne olduğu açıklanmasa da, saldırganlar uygulama ile ilgili genel bir bilgi paylaşarak kitleyi yürüyüşe katılmaya çağırdı. Uygulama yüklendiği zaman “cloud service” (bulut hizmeti) etiketi ve Android imgesiyle ana ekranda görülmektedir –bu şekilde güvenilirliklerini temin etmişlerdir-, kullanıcı uygulamayı açtığında ya da cihaz yeniden başlatıldığında, kötü amaçlı yazılım kendisini ana ekrandan kaldırmaktadır. Bunun amacının uygulamanın fark edilmesini engellemek ya da kişi uygulamayı araştırmayı bırakana kadar ortaya çıkabilecek şüpheyi engellemek ya da kişinin uygulamayı indirdiğini ve yüklediğini unutmalarını sağlamak olarak değerlendirilmektedir.
Bunun dışında, saldırı için diğer Twitter hesaplarını da kullandılar. Başka bir saldırgan Adalet Yürüyüşü’nün resmi Twitter hesabı olarak (@Adalet_icinYuru) isimli hesabı kullandı ve sahte Adalet web sitesinin linkini profiline ekledi. Böylece Twitter hesabını ziyaret eden herhangi bir kişiyi, profilde verilen linkin yürüyüşün resmi web sitesi olduğuna inandırmaya yönlendirdi. Twitter hesabından yürüyüşe ait gerçek içeriklerle ilgili retweetler paylaştılar. Raporda, Adalet Yürüyüşü’nden önce protestonun katılımcılarını hedeflemeyi amaçlayan başka Twitter hesaplarının olduğu da belirtilmektedir. Kötü amaçlı kampanyaya katılmaya kandırılan Twitter kullanıcılarının kim olduğunu ayırt etmenin zor olduğu söylenmektedir.
Ayrıca, protestoyu destekleyen bazı Twitter hesaplarının protestodan çok daha önce oluşturulduğu görülmektedir. İlginç bir şekilde, bu hesapların ilk baştaki paylaşımlarının anti-Gülen tweetleri olduğu, Emniyet Genel Müdürlüğü’nün tweetlerini desteklediği ve Adalet Yürüyüşü protestoları ile hükümet yanlısı tweetler atmayı bıraktığı ve çeşitli CHP hesaplarını takip etmeye başladığı (CHP’nin tweetlerine kötü amaçlı link ile cevaplar vererek) belirtilmiştir. Bahsedilen profilin Türkçe bir botnet[3] ile ilişkili olduğu, benzer Twitter hesaplarından ve kurgusal personalardan oluşan bir ağ şeklinde düzenli olarak aynı içeriği paylaştığı, aynı hesaplardan içerikleri retweet ettiği ve birbirlerinin tweetlerini desteklediği ortaya konmuştur. Rapor, bahsedilen botnet aktivitesinin siyasi olarak yönlendirildiği, Recep Tayyip Erdoğan’ı ve güvenlik güçlerini destekleyen hesaplara odaklandığı, CHP’yi kötülediği ve Türkiye’nin mevcut dış politikadaki pozisyonunu olumladığını söylese de, botnetin amacının ne olduğunu kavramanın güç olduğunu, çünkü bu hesapların kısmen aktif olduğunu ve sınırlı durumlarda düzensiz bir şekilde kullanıldığını belirtmektedir.
Şirket kullanıcılara Twitter hesapları aracılığıyla ulaşarak ve kullanıcıları sahte kötü amaçlı yazılmış web sitelerine çekerek, FinSpy isimli casus yazılımı kişilerin cihazlarına yerleştirdi. FinSpy’ın ele geçirme kapasitesi ve yapabilecekleri ise adres defteri bilgisinin, takvimin ve telefon görüşmesi kayıtlarının toplanması; dosyaların, ekran görüntülerinin ve fotoğrafların toplanması; konumun izlenmesi; kurbanın mikrofonunun gizlice dinlenmesi ya da (FinFisher şirketinin terminolojisinde SpyCall ‘casus arama’ olarak ifade edilen) gizli aramaların yerleştirilmesi; ayrıca Line, WhatsApp, Viber, Telegram, Skype, Facebook Messenger, Kakao ve WeChat gibi mesajlaşma uygulamalarından toplanan iletişim ve medya dosyaları olarak sıralanmaktadır[4]. Böylece, uygulamayı indiren ya da web sitesini ziyaret eden kişilerin cihazlarına bulaşmış olan kötü yazılım ile kişilerin mesajları, medyaları, görüşmeleri ve lokasyonları dinlenmiş ve takip edilmiştir. Bu durumdan etkilenen ne kadar kişi olduğu ya da kimlerin etkilendiği bilinmemekte. Sadece yürüyüşe katılan ya da protestoyu destekleyen bireylerin değil, CHP’li milletvekillerinin konuşmalarının veya yazışmalarının da takip edilmiş olması muhtemel.
Sonuç olarak, raporda, Access Now’ın yaptığı operasyonlar sonucunda, FinSpy’ın Türkiye’de Adalet Yürüyüşü boyunca insan hakları savunucularını ve aktivistleri hedeflemek için kullanıldığı, yazılımın başka bir uygulamanın arakasına gizlendiği ve Twitter ve diğer sosyal medya platformları aracılığıyla yarı-otomatik kampanya ile dağıtıldığı sonucuna varılmıştır. Raporda FinSpy’ın, Türkiye’de vatandaşların gizlilik, ifade özgürlüğü ve fikir hakkını zayıflatma niyetiyle kullanıldığı belirtilmektedir.
Konuyla ilgili FinFisher isimli şirketten bir açıklama henüz yapılmadı. Adalet Yürüyüşü için bu gözetimi kimin talep ettiği de henüz bilinmiyor. Cumhuriyet Gazetesi’ndeki habere göre, CHP milletvekilleri konuyu mecliste araştırma önergesi haline getireceklerini belirtti. Ulaştırma, Denizcilik ve Haberleşme bakanı Ahmet Arslan ise “bakanlık olarak böyle casus yazılım almalarının söz konusu olmadığını” söyledi. Değinilmesi gereken bir nokta ise, CHP milletvekili Zeynep Altıok Akatlı’nın konuyu soru önergesi ile 11 ay önce gündeme taşımış olması.
Son görüş olarak, şirketlerin gerek kar gerek gözetim amaçlı birbiri ardına ortaya çıkan gizlilik ihlallerinin gelişen teknolojiler ile ilgili olduğunu düşünebiliriz, fakat aynı zamanda şirketlerin eylemlerini gözeten ve ihlalleri ortaya çıkaran gruplar ve savunucuların artan çabaları ile de ilgili olduğunu, konunun görünürlüğünün arttığını da gözden kaçırmamalıyız.
[1] Access Now raporda sosyal mühendislik kavramını, “insanların sosyal araçlar ya da etkileşimler ile manipüle edilmesi” ve “genellikle toplum mühendisliğini yapan bireye ya da kuruluşa, kaynağa ya da yere erişim sağlayan bazı eylemleri gerçekleştirmesi” olarak tanımlamaktadır.
[2] http://www.wiki-zero.net/index.php?q=aHR0cHM6Ly9lbi53aWtpcGVkaWEub3JnL3dpa2kvRmluRmlzaGVy
[3] Oxford Dictionaries, botnet kelimesini kötü amaçlı yazılımın bulaştığı özel bilgisayarlardan oluşan ve kişinin bilgisi olmaksızın bir grup tarafından kontrol edilen bir ağ olarak tanımlamaktadır.
[4] Raporda WhatsApp, Facebook, Telegram, SMS ve çeşitli mesajlaşma uygulamalarına ait bilgilerinin nasıl ele geçirildiğini gösteren tablolar mevcuttur.
Kaynak:
https://www.accessnow.org/european-made-finspy-malware-is-being-used-to-target-activists/
Yeni Medya 
[…] yazılım saldırıları sonucunda, yazılımı mobil cihazları hedefleyerek toplum mühendisliği[1]kampanyalarının bir parçası olarak kullandı ve saldırıların ölçeğini ve […]