Dark Caracal (Caracal = karakulak, vaşak) EFF’nin son dönemde ortaya çıkan bir takım siber casusluk olaylarına verdiği ad. İsimdeki hayvanın yaşam alanı Ortadoğu ve anlaşılacağı üzere söz konusu veri casusluğu yoğunlukla yine aynı bölgeyi ilgilendirmekte. Hikayeyi özetlersek, popüler anında mesajlaşma uygulamalarının (bunlar arasında Whatsapp, Skype, Signal en bilinenler) farklı versiyonları özel hazırlanmış sitelere yüklenmekte. Değiştirilmiş bu uygulamalar özel erişim yetkisine sahip olduğu gibi yüklendiği cihazı kök yetkisi atayarak dışarıdan kontrole açık hale de getirebiliyor. Facebook ve Whatsapp gibi iletişim kanalları üzerinden atılan mesajlar ile kişiler sahte uygulamaların olduğu sunuculara yönlendiriliyor böylelikle de kullanıcıların bunları kendi cihazlarına yüklemesi sağlanıyor. Sonuç olarak da görsel ve işitsel veriler de dahil pek çok bilginin belli bir merkeze gönderilmesi gerçekleşiyor.
Son kullanıcı özellikle Android işletim sistemindeki uygulama izinleri üzerinde pek bir yetki sahibi değil. Bu nedenle, indirilen yazılımların mobil cihazlardaki yetki kullanımı uzun zamandır büyük bir güvenlik zafiyetini de beraberinde getiriyor. Casusluğu gerçekleştirenler de zaten bu temel zayıflığı kullanmış görünüyor. İndirilen uygulamalar asılları gibi çalıştığı için kullanıcı hiçbir şeyden şüphelenmiyor ama kişisel hayatına yönelik önemli bilgiler sızdırılmış oluyor. Dark Caracal olayında casusluk yalnız bu yönteme dayanmıyor ama sistemin en önemli parçası diyebiliriz. Hedef alınanların Windows masaüstü ve Android işletim sistemleri olduğu (macOS ve Linux da var ama azınlık) anlaşılmakta. Doğal olarak bu istatistikler saldırganların tercihinden değil büyük ihtimal ile kurbanların sahip olduğu cihazların özelliklerinden kaynaklanıyor.
EFF’nin( Lookout ile beraber) konuyu araştırması sonrası yayınladığı rapora göre verilerin taşındığı sunucular Lübnan merkezli. Hatta Beyrut kentinde bulunan Lübnan Genel Güvenlik Başkanlığı binasında. Kısacası Lübnan Devleti casusluğun arkasında. İzlerin ulaştırdığı sonuçların bir aldatmaca olmadığı Lübnan devlet yetkililerin konuyu inkar etmemesinden de anlaşılıyor. Son tespitlere göre Dark Caracal faaliyetleri yeni de değil (en az 2012’den bu yana) ve daha önce başkalarının yaptığı düşünülen casusluk işlerinin de asıl sorumluları gibi görünüyorlar. Örneğin 2016 yılında işlenen bazı siber suçların yine EFF tarafından yapılan inceleme sonucunda Hindistan’daki bir güvenlik şirketi olan Appin tarafından gerçekleştirildiği belirtilmişti. Oysa son gelişmeler neticesinde o olayların arkasından da “Dark Caracal”ı gerçekleştirenler çıktı. “Manul Operasyonu” adı verilen olaylar zincirinde ismi geçen bir diğer kurum Arcanum Küresel İstihbarat (Arcanum Global İntelligence) şirketi ise oldukça ilginç bağlantılara sahip.
Bu arada EFF’nin yaptığı araştırmaların “güvenilirliği” meselesine değinmek yerinde olur. EFF her ne kadar saygın bir organizasyon izlenimi verse de, tamamen bağımsız ve tarafsız olduğu kesinlikle ileri sürülemez. Özellikle yaptığı araştırmaların hemen hepsinde büyük ticari şirketleri kollayan bir tavır içinde olduğu rahatlıkla gözlemlenebilir. Konu devletler olduğu zaman da EFF’nin dişini gösterebileceği ülkeler ve göstermek istemeyeceği ülkeler olarak bir ayrım yaptığını ifade edebiliriz. Lübnan, Kazakistan (Manul Operasyonu) veya Hindistan adını raporlarında rahatlıkla geçirirken, konunun bağlantılı olduğu diğer ülkelerin ve şirketlerin adları ya geçmez ya da ilişkilerine değinilmez. Örneğin Arcanum şirketinin İsrail ve büyük Batılı devletlerin istihbarat kurumları ile olan ilişkisine değinilmemesi gibi. Okları Hintli bir güvenlik şirketine yöneltmek pek çok açıdan daha kolay olsa gerek. Elbette bu durum EFF’nin her yaptığı işin veya paylaştığı bilginin güvenilmez olacağı anlamına gelmiyor ama temkinli olmakta yarar var. Şunu da vurgulamak önemli, güvenlik başkasının verdiği tavsiye ile tesis edilebilecek bir durum değil. Dolayısıyla son kullanıcının kendi aklını ve “neden-niçin” sorularını rehber edinmesi pek çok konuda olduğu gibi siber güvenlik için de başlıca yöntem olmalı.
Arcanum şirketi yalnızca üst düzey istihbaratçıları (örneğin Mossad’ın eski şefi Meir Dagan gibi) bünyesinde barındıran bir yapı değil. Aynı zamanda Tel Aviv merkezli ortak bir şirket (RJI Capital Services Ltd.) vasıtasıyla İsrail ile organik bağları bulunmakta. Şimdi Lübnan konusuna geri dönelim.
Kestirmeden söylersek Lübnan aslında küçük bir kukla devlet. Ülke siyasi ve idari açıdan ikiye ayrılmış durumda. Hizbullah ve Hamas üzerinden etkili olan İran bir tarafı, İsrail ve ABD yanlıları diğer tarafı oluşturuyor. Dolayısıyla bu casusluk işlerinin arkasında Lübnan var demek biraz saflık olur. Küçük bir not olarak bir ayrıntıyı daha hatırlatalım. Zamanında “milli” hükümetimiz tarafından tabiri caizse sudan ucuz bir şekilde özelleştirilen Türktelekom, Lübnanlı meşhur Hariri ailesi (aynı zamanda geleneksek olarak Lübnan başbakanları çıkaran bir aile) tarafından satın alınmıştı. Ülkemizin en önemli iletişim alt yapısının kimlere verildiğini anlamak açısından bu durum bir fikir verebilir.
Dark Caracal olayındaki kurbanların 21 ülkeden olduğunu öğreniyoruz ve bunların çoğu Türkiye gibi müslüman nüfusa sahip. Her ne kadar Batılı ülkeler listede yer alsa da bunun nedeni “olasılıkla” Batı ülkelerinde yaşayan müslüman (Ortadoğu kökenli) kişilerden kaynaklanıyor. Eğer bu varsayım doğru değilse söz konusu casusluk yöntemi zaman içinde farklı amaçlar doğrultusunda kullanılmış demektir ama etkilenen cihazların bulunduğu bölgelerin dağılımına bakınca böyle düşünmek için bir neden bulunmuyor. Eğer dünyada müslüman nüfusun yaşadığı bölgeleri gözümüzün önüne getirirsek çok benzer bir dağılım ile karşılaşırız zira. EFF’nin raporunda sayılar açıklanmasa da Türkiye’den (veya yurt dışındaki gurbetçi, bürokrat, asker veya elçilik çalışanları olan Türklerden) çok sayıda (veya az sayıda ama önemli bilemiyoruz) kurbanın olması yüksek bir ihtimal. Bu casusluk yöntemi “kime denk gelirse” mantığı ile yapılmış değil. Facebook ve Whatsapp üzerinden belirli kişiler üzerine oynanmış. Dolayısıyla, saldırılar bir konu, plan ve amaç gözetilerek gerçekleştirilmiş olmalı. Büyük olasılıkla da ticari olmaktan ziyade politik bir motivasyon var. Kurbanların kimlikleri biliniyor çünkü verilerin toplandığı sunucular çevrimiçi ve korunmasız bir şekilde bırakılmış. Bu kişilerin güvenliği düşünülerek bu bilgiler açıklanmasa da içlerinde avukat, akademisyen, asker ve gazeteciler olduğu dile getirilmekte. Kısacası EFF ve Lookout kurbanların dökümüne sahip. Araştırma sonuçları en azından resmi kurumlarla daha ayrıntılı paylaşılırsa (kurbanların profilleri gibi) casusluğun özellikle tam olarak ne ile ilgili olduğu kolayca anlaşılabilir. Kurbanların sayı ve dağılımının düzgün bir şekilde (örneğin sayı ve konum bilgileri verilebilirdi) paylaşılmamış olması ise dikkat çekici. Bu yaklaşımı kurbanların güvenliği gerekçesi ile açıklamak zor.
İpuçlarının gösterdiği üzere eğer İsrail bu tip bir organizasyonun arkasındaysa, Ortadoğu içinde ve dışında kimleri izlemek isteyecekleri de sürpriz olmamalı.
Her gün dünyada yeni bir siber güvenlik sorunu gündeme geliyor ama Türkiye’nin bir şekilde içinde olması nedeni ile Dark Caracal ayrı bir yere konabilir. Resmi kurumlarımız Türkiye’den kaç kişinin ve kimlerin ne ölçüde bu casusluğun kurbanı olduğunu araştırmayı yapanlardan talep etmiş midir veya edecek midir bilmiyoruz ama sanmıyoruz. Konudan haberlerinin olup olmadığı bile bir muamma. Diğer taraftan medyamız da olaya pek ilgi göstermiş sayılmaz. Bu şaşırtıcı değil çünkü basın yayın kuruluşlarımızın bilişim uzmanları veya siber güvenlik çalışanları genelde web sitesi yönetim ve bakımından öte işlev görmemekte. Bu tür konularda yazan çizen insan sayısı yok denecek kadar az.
Son not: Karakulak, Osmanlı döneminde habercilere (emir çavuşu) verilen addır. Umalım ki bu casusluk hikayesi gelecekte olacakların bir “kara haber”cisi olmasın.
Abi bu güzel uzun uzun yazıları okurken faydalı olur diye tepeye progress bar ekledim. 😃 Eline sağlık. Çok güzel yazılar.