Toronto Üniversitesi’nde siyasi, insan hakları ve siber güvenlik alanlarında araştırmalarıyla bilinen CitizenLab tarafından yayınlanan yeni bir araştırmaya göre, Bahreyn Hükümeti’nin NSO Group’a ait Pegasus casus yazılımıyla aktivistleri ve siyasi muhalifleri hedef aldığı ortaya çıktı. Araştırma ile birlikte bilinen kadarıyla en az Şubat 2021’den bu yana kötüye kullanılan yeni bir iOS Zero-Click güvenlik açığıda ortaya çıktı.
Araştırmacılar, NSO Group‘un Pegasus casus yazılımı kullanılarak Haziran 2020 – Şubat 2021 arasında iPhone’larına erişilen dokuz Bahreyn’li aktivist tespit etmişler. Bu aktivistlerin 2020 yılında keşfedilen KISMET ve yeni keşfedilen FORCEDENTRY adı verilen iMessage‘daki Zero-Click güvenlik açıklıkları kullanılarak hedef alınmış. Hedef alınan kişiler listesi şu şekilde:
| Hedef | Açıklama | Hacklenme Tarihleri |
|---|---|---|
| Moosa Abd-Ali* | Aktivist | Eylül 2020’den bir süre önce |
| Yusuf El-Jamri | Blogger | Eylül 2019’dan bir süre önce |
| Aktivist A | Waad üyesi | 16 Eylül 2020 |
| Aktivist B* | Waad üyesi, İş Hukuku Araştırmacısı | 3 Haziran 2020, 12 Temmuz 2020, 19 Temmuz 2020, 24 Temmuz 2020, 6 Ağustos 2020, 15 Eylül 2020 |
| Aktivist C | Waad üyesi | 14 Eylül 2020 |
| Aktivist D* | BCHR üyesi | 14 Eylül 2020 |
| Aktivist E | BCHR üyesi | 10 Şubat 2021 |
| Aktivist F* | BCHR üyesi | 11 Temmuz 2020, 15 Temmuz 2020, 22 Temmuz 2020, 13 Ekim 2020 |
| Aktivist G* | Al Wefaq üyesi | Eylül 2019’dan bir süre önce |
Bu aktivistler arasında bulunan (A-D arası) üç Waad ve bir tane de BCHR üyesinin, Bahreyn Hükümeti’ne atfedilen Pegasus operatörü LULU kullanılarak hacklendikleri belirtiliyor. Araştırmacılar, LULU‘nun daha önceki yıllarda keşfedilen PEARL operatörü gibi yalnızca Bahreyn ve Katar’da casusluk için kullanıldığını düşünüyorlar. Hatta LULU’nun 2017-2018 yıllarında keşfedilen PEARL ile aynı operatör olduğu üzerinde de duruyorlar.
Aktivistlerden biri 2020 yılında verdiği bir röportajda, Pegasus yazılımı kullanılarak kendisinin 2019 yılında hacklendiğini açıklamış. Bu açıklamadan bir kaç saat sonra ise yeniden hacklenmiş.
Saldırıya uğrayan aktivistlerden ikisinin Londra’da yaşadığı, en az bir kişinin saldırıya uğradığında Londra’da bulunduğu belirtiliyor. Bahreyn Hükümeti’nin normalde Pegasus yazılımını kullanarak Katar ve Bahreyn‘de casusluk operasonlarını gerçekleştirdiği ve Avrupa’da daha önce rastlamadıklarını belirtiyorlar. Bu yüzden Bahreyn Hükümeti’nin Londra’da yaşayan aktiviste saldırı gerçekleştirirken farklı bir hükümetle bağlantılı Pegasus operatöründen yararlandıklarını düşünüyorlar.
Hackleme mekanizmalarıyla ilgili olarak:
Temmuz – Eylül 2020: Hedeflenen kişilerin iOS 14.0‘a kadar olan versiyonlarında KISMET olarak bilinen bir sıfırıncı gün açığından yararlanıldığına inanılıyor.
Eylül 2020: iOS 14’ün kullanıma sürülmesinden sonra ise iMessage’da bulunan Zero-Click güvenlik açıklıkları kurbanlar üzerinde kullanılmaya başlanmış. Hedeflenmiş kişilere iMessage üzerinden mesajlar yollanılarak, kurbanların bu mesajlarda yer alan bağlantılara tıklanması amaçlanmış. NSO Group‘un Apple tarafından uygulanan yeni BlastDoor güvenlik özelliği nedeniyle geçici olarak tek tıklamalı iOS güvenlik açıklarına geri dönmüş olabileceği de belirtiliyor.
Şubat 2021 – Temmuz 2021: Şubat 2021’den itibaren ise NSO Group’un Apple’ın BlastDoor özelliğini atlatan yeni bir tek tıklamalı Apple’ın BlastDoor özelliğini atlatan yeni bir tek tıklamalı iMessage açığını kullanmaya başladıkları gözlemlenmiş. BlastDoor’u atlatabilme yeteneğinden dolayı bu istismarı FORCEDENTRY olarak adlandırmışlar. Bu güvenlik açığı iOS 14’ün sürümlerinde kullanılmış.
CitizenLab araştırmacıları, iOS 14.4 ve 14.6 sürümlerinde yararlanılan FORCEDENTRY istismarının mevcut iOS sürümlerine karşı da çalıştığına inanıldığını belirtiyorlar.
