Bu durum, sektörün bilgisayar korsanlığı ve saldırı tekniklerinde giderek daha da geliştiği ve bölgede neredeyse hiç kimsenin dijital olarak savunmasız olmadığı bir dönemde yaşanıyor.
Arap Postası, Orta Doğu'daki casus şirketlerinin, kimin parasını öderse onun çıkarına "dijital paralı asker" olarak faaliyet gösteren en önemli faaliyetlerini gündeme getirdi.
Sitenin haberinde, Citizen Lab raporlarına, siber güvenlik uzmanlarının araştırmalarına, casus şirketlerle ilgili verilere, bilgisayar korsanlığı ve gözetleme için kullanılan araçlara ve faliyetlerine dikkat çekildi.
Bu sektörün kalbinde İsrail yer alıyor; İsrail'in şirketleri gözetleme ve bilgisayar korsanlığı alanında en tehlikeli şirketler arasında sayılıyor.
Bunların bir kısmı casusluk faaliyetleri nedeniyle ABD yaptırımlarına maruz kalıyor.
Casus yazılım şirketleri, dikkat çekmemek için sıklıkla çeşitli yöntemlere başvurur; bazıları ise farklı isimler altında gizli faaliyet gösterir. Bu, birçok İsrailli şirket tarafından benimsenen bir stratejidir.
Pegasus: İz Bırakmadan Casusluk
Dijital casusluk dünyasının kalbinde yer alan İsrail merkezli NSO Group, telefon dinleme ve casusluk alanında en önde gelen oyunculardan biri olarak öne çıkıyor. 2010 yılında kurulan şirket, Q Cyber Technologies adlı ana şirket çatısı altında faaliyet gösteriyor. Şirket verileri, Lüksemburg'da kayıtlı olduğunu gösteriyor.
İsrailli NSO şirketinin faaliyet gösterdiği Q Cyber Technologies şirketinin kayıt verileri – Northdata
Şirketin iki tehlikeli gözetleme ve casusluk aracı var:
Pegasus: Orta Doğu ülkeleri de dahil olmak üzere dünya çapında çok sayıda hükümet tarafından kullanıldığını ortaya koyan bir dizi araştırma raporunun ardından 2021 yılında küresel üne kavuştu. Pegasus faaliyetleriyle ilgili sızıntılar arasında, NSO Group müşterilerinin ilgisini çekebileceği düşünülen 50.000 telefon numarası da yer alıyordu.
Pegasus'u farklı kılan şey, kullanıcı herhangi bir şüpheli aktivite fark etmeden telefona sızabilme yeteneğidir.
Bu yazılım, geleneksel bilgisayar korsanlığı operasyonlarının, belirli bir bağlantıya tıklamayı gerektiren saldırıların aksine, kısa mesajlar, e-postalar veya aramalar gibi yaygın telefon uygulamalarındaki güvenlik açıklarından yararlanarak kötü amaçlı kodları çalıştıran "sıfır tıklama" saldırılarına dayanıyor.
Telefonlar bu kötü amaçlı yazılımla enfekte olduğunda, saldırgan (genellikle NSO'dan hizmeti satın alan bir devlet kurumu) telefonun tam kontrolünü ele geçirebilir, kişisel mesajlara erişebilir, e-postaları görüntüleyebilir ve hatta gizlice kamerayı ve mikrofonu etkinleştirebilir.
En endişe verici olanı ise Digital Citizen Lab'ın, Pegasus kullanan saldırgan WhatsApp, Telegram ve Signal gibi şifreli mesajlaşma uygulamalarının içeriğini okuyabilir.
Circle: Pegasus'un yanı sıra, 1970'lerde telefon şebekeleri arasındaki iletişimin koordinasyonunu kolaylaştırmak, aramaların ve mesajların kullanıcılar arasında sorunsuz bir şekilde iletilmesini sağlamak amacıyla geliştirilen SS7 sisteminde, telekomünikasyon şebekelerindeki eski güvenlik açıklarından yararlanan Circle adlı bir araç daha geliştirildi.
Bu araç, saldırganların hedef kişinin aramalarını ve kısa mesajlarını, bilgisi olmadan veya herhangi bir iz bırakmadan dinlemesine olanak tanır. Bu araca yönelik güvenlik araştırmaları, Orta Doğu'daki birçok ülkenin Circle müşterisi olma ihtimalinin yüksek olduğunu ortaya koymaktadır.
İsrail casusluk ve gözetleme araçları ittifakı
Casusluk dünyasında İsrail bağlantılı bir diğer şirket öne çıkıyor:
2017 yılında Makedonya'da kurulan Cytrox, 2019 yılında hackerlık ve casusluk faaliyetleriyle tanınan eski İsrailli subay Tal Dillian tarafından satın alındı.
Satın almanın ardından Delian, Cytrox'u "Intellexa Alliance" olarak bilinen bir ittifaka dahil etti. ABD Hazine Bakanlığı'nın internet sitesinde yayınlanan ABD verileri, ittifakın gözetim sektöründe faaliyet gösteren bir grup şirketi içerdiğini gösteriyor:
– Intellexa SA, Yunanistan merkezli.
– İrlanda merkezli Intellexa Limited.
– Cytrox AD, Kuzey Makedonya merkezli bir şirkettir.
– Cytrox Holdings ZRT, Macaristan merkezli bir şirkettir.
– İrlanda merkezli Thalestris Limited.
Eski İsrailli subay Tal Dillian'ın satın aldığı Cytrox şirketinin farklı isimleri -ABD Hazine Bakanlığı-
Cytrox, Predator adı verilen ve iki şekilde çalışan gelişmiş bir araç geliştirdi:
– Zararlı bağlantılar yoluyla saldırı:
Zararlı bağlantılar hedefe SMS veya WhatsApp yoluyla gönderilir ve üzerine tıklandığında Predator cihaza yüklenir.
Sıfır tıklama saldırısı:
Predator, sıfır tıklama saldırılarıyla çok çeşitli cihazlara saldırabilir.
Araç hem Android hem de iOS cihazları hedef alıyor. Bulaştığında, hedefin bilgilerini çalıyor, izni olmadan kişisel verilerini çıkarıyor, konumunu takip ediyor, telefon uygulamalarına ve diğer kişisel bilgilerine erişiyor.
Predator operatörleri ayrıca hedef kişilerin arama geçmişine, mesaj içeriklerine ve mikrofon kayıtlarına da erişebiliyor. Digital Citizen Lab, aracın Orta Doğu ve Kuzey Afrika da dahil olmak üzere dünya çapında birçok rejim tarafından kullanıldığını belirtiyor.
ABD Hazine Bakanlığı'na göre, kapsamlı casusluk faaliyetleri nedeniyle ABD, Mart 2024'te İsrailli subay Dillian liderliğindeki Intellexa Alliance'a, şirketin hükümet yetkilileri ve gazeteciler de dahil olmak üzere Amerikalıları hedef alan casusluk faaliyetleri nedeniyle yaptırım uyguladı .
"Şeytanın Dili"... Sessiz Sızma
Casusluk sektöründe yapılan bir araştırma, son on yılda adını birkaç kez değiştiren bir İsrail şirketinin adını ortaya çıkardı. 2025 itibarıyla en son adı Saito Tech Ltd. olan şirket, hem mobil cihazlara hem de bilgisayarlara saldıran bir casus yazılım aracına sahip.
Avrupa Parlamentosu web sitesinde 2023 yılına ait yayınlanan bir belge, Saito Tech Ltd.'nin çeşitli isimler altında el değiştirdiğini gösteriyor.
İncelenen bir belge, şirketin şu isimlere sahip olduğunu gösteriyor:
2014: Candiru Ltd
2017: DF Associates Ltd
2018: Grindavik Çözümler Ltd.
2019: Taveta Ltd.
2020: Saito Teknoloji Ltd.
Saito Tech Ltd. İsrail'deki Şirket Kayıt Verileri
Saito Tech Ltd – Avrupa Parlamentosu
Saito Tech'in ana aracı, cihazlara sessizce sızma konusundaki olağanüstü yeteneği nedeniyle Microsoft tarafından DevilsTongue olarak adlandırıldı. Araç, Android ve iPhone sistemlerinin yanı sıra Windows ve Mac bilgisayarlarında dosya ve veri depolamak için kullanılan bulut hizmetlerini hedef alıyor.
DevilsTongue'un saldırı yöntemleri, geleneksel kötü amaçlı bağlantılar göndermekten, kurbandan hiçbir etkileşim gerektirmeyen sıfır tıklamalı saldırılara kadar uzanıyor ve bu sayede ihlaller sessiz ve tespit edilemez hale geliyor.
Citizen Lab'ın hazırladığı rapora göre araştırmacılar, Saito Tech'in hedeflenen cihaz sayısına göre fiyatlandırılan casusluk servislerinin tanıtımını içeren bir iç projeye eriştiler.
Örneğin şirket, sınırsız bilgisayar korsanlığına izin veren ancak aktif izlemeyi aynı anda 10 cihazla sınırlayan 16 milyon dolarlık bir paket sunuyor ve ek hizmet isteyen müşterilerin daha fazla ödeme yapması gerekiyor.
Project Saito, casus yazılım aracının Gmail, Skype, Telegram ve Facebook dahil olmak üzere birçok uygulama ve hesaptan özel verileri çıkarabildiğini belirtiyor. Araç ayrıca tarama geçmişini ve parolaları kaydedebiliyor, hedefin web kamerasını ve mikrofonunu etkinleştirebiliyor ve ekran görüntüleri alabiliyor.
Araç aynı zamanda Signal gibi ek uygulamalardan da veri çıkarmanıza olanak tanıyor ancak şirket bu özelliği ücretli bir eklenti olarak satıyor.
Microsoft, Saito ve casus yazılımına yönelik bir soruşturma yürüttü ve İsrailli şirketin hedef aldığı en az 100 kurbanı tespit etti; bunlardan bazıları Orta Doğu ülkelerinde bulunuyordu.
Casusluk sektörünün kalbindeki bir İtalyan şirketi
İsrail şirketlerinin yanı sıra, çeşitli ülkelerde faaliyet gösteren çok sayıda başka şirket de bulunuyor; bunların en dikkat çekeni, Pegasus casus yazılım ve gözetleme aracını geliştiren İsrailli şirkete atıfla, "Avrupa'nın NSO'su" olarak tanımlanan İtalyan şirketi RCS Lab.
1993 yılında kurulan RCS Lab, Hermit adlı gelişmiş bir casus yazılım aracına sahiptir. Güvenlik araştırmacılarının Hermit kötü amaçlı yazılımının gelişmiş casusluk operasyonları için kullanıldığını ortaya çıkarmasının ardından şirket, 2022 yılında uluslararası alanda ilgi odağı haline gelmiştir.
Şirketin faaliyetlerinin izlenmesi sonucunda Pakistan Federal Gelir İdaresi tarafından yayınlanan resmi bir belgede şirketin adı ortaya çıktı ve güvenlik bilgilerinin Pakistanlı yetkilileri hedef alabileceğini göstermesinin ardından aracın riskleri konusunda uyarıda bulunuldu.
Belgede, Hermit'in kötü amaçlı yazılımı etkinleştirmek için hedef etkileşimine, örneğin kötü amaçlı bir bağlantıya tıklamaya veya kötü amaçlı yazılımın telefona sızmasını sağlayacak bir uygulama yüklemeye dayandığı belirtiliyor.
Yazılım telefonunuza yüklendiğinde ses kaydı yapabilir, yetkisiz aramalar yapabilir ve e-postalar, kişiler, web sitesi yer imleri gibi çeşitli kişisel verileri çalabilir.
Pakistan belgesinde, Hermit'in hedefteki Android cihaza otomatik olarak ek uygulamalar da yükleyebileceği uyarısı yapılırken, söz konusu aracın Suriye de dahil olmak üzere birçok Asya ülkesinde kullanıldığı belirtiliyor.
Cihazları enfekte eden Hermit yazılımının yeteneklerinden bahseden Pakistan belgesi
Endonezyalı şirket İsrailli NSO kadar tehlikeli
Küresel casusluk dünyasında yeni bir gelişme olarak, Endonezya merkezli First Wap şirketi, dünyanın çeşitli ülkelerindeki çok sayıda mağduru hedef alan casusluk şirketleri listesine girdi. 1995 yılında kurulan şirket, Endonezya merkezli.
Lighthouse Reports liderliğindeki uluslararası bir araştırma, Ekim 2025 ortasında şirketin Altamides adlı bir araç kullanarak dünya genelinde 160'tan fazla ülkede müşterilerine yönelik 1 milyondan fazla gözetleme girişimi gerçekleştirdiğini ortaya koydu.
Kuruluş, 2007-2014 yılları arasında takip edilen 14.000'den fazla telefon numarasının yer aldığı bir veri tabanına ulaştığını açıkladı. Hedef listesinde gazetecilerden muhalif isimlere, siyasi rakiplerden ünlülere, bankacılardan milyarderlere ve diğerlerine kadar çok çeşitli kişiler yer alıyor.
Altamides'in yazılımı, diğer casus yazılım araçlarında da kullanılan SS7 telekomünikasyon protokolünü kullanarak aramaları ve kısa mesajları dinleme olanağı sağlıyor. Bu mesajlar aracılığıyla, uygulama yazılımlarını hacklemeye gerek kalmadan WhatsApp ve Telegram gibi hassas hesaplara dolaylı olarak erişebiliyor.
Şirketin ayrıca, hedeflere yönelik sahte kısa mesajlar göndermeyi sağlayan Dis-C adlı bir aracı daha var. Uluslararası soruşturmanın bir parçası olan İsrail gazetesi Haaretz'e göre, bu araç telefonda hiçbir iz bırakmıyor.
Soruşturma sonuçları, aracın birçok Orta Doğu ülkesinde kullanıldığını gösteriyor. İddialara yanıt olarak şirket, "hiçbir devlet kurumuna hizmet vermediğini" ve "ürünlerini yalnızca yetkili müşterilere sattığını" iddia etti.
Riski azaltan koruyucu önlemler
Casusluk ve gözetleme araçlarının nasıl çalıştığına dair ayrıntılar, hedeflerin farkına bile varmadan kurban haline gelebileceğini ortaya koyuyor. Bazı saldırılar, özellikle işletim sistemlerindeki veya ağ mimarisindeki güvenlik açıklarından yararlananlar, cihazda görünür bir iz bırakmaz. Bu da tam korumayı neredeyse imkansız hale getirir.
Ancak siber güvenlik uzmanları, özellikle bağlantılara tıklama veya kötü amaçlı uygulamalar yükleme gibi mağdur etkileşimine dayanan durumlarda enfeksiyon olasılığını azaltabilecek bir dizi önleyici tedbir sunuyor.
En önemli tedbir tavsiyeleri şunlardır:
– Gerektiğinde telefonunuzu kapatın veya uçak modunu kullanın: Bilgi güvenliği ve siber güvenlik konusunda uzmanlaşmış bir şirket olan Protect Star, uçak modundayken telefonun sessiz mesajlar da dahil olmak üzere hiçbir sinyal göndermediğini veya almadığını belirtiyor.
– Cihazınızı her gün yeniden başlatın: Uluslararası Af Örgütü ve Citizen Lab'ın araştırmaları, cihazınızı düzenli olarak yeniden başlatmanın temizlemeye yardımcı olabileceğini gösteriyor. Cihazınız her gün yeniden başlatılırsa, saldırganların tekrar tekrar virüs bulaştırması gerekecek ve bu da zamanla tespit edilme şanslarını artıracaktır.
– İkinci bir telefon veya "kullan-at" telefon kullanımı: Protect Star, bazı kişilerin kişisel veri içermeyen ve yalnızca hassas durumlarda kısa bir süre için kullanılan "temiz" bir ikinci telefon satın almasını öneriyor. Telefon daha sonra kapatılırsa veya hasar görürse, sessiz mesajları takip etme girişimleri uzun vadede etkisiz olacaktır.
Mobil cihazınızı güncel tutun: Android ve iPhone gibi mobil işletim sistemi şirketlerinin yayınladığı en son güncellemeleri ve uygulama güncellemelerini almak çok önemlidir, çünkü bu güncellemeler bazen bilgisayar korsanlarının yararlanabileceği güvenlik açıklarına yönelik yamalar içerir.
Şüpheli bağlantılara tıklamaktan kaçının: Dijital güvenlik uzmanları, WhatsApp gibi uygulamalardaki bilinmeyen hesaplardan veya kısa mesajlar yoluyla gönderilen şüpheli bağlantılara tıklamaktan kaçınmanın, kötü amaçlı bağlantılar kullanılarak yapılan saldırılardan korunmaya yardımcı olduğunu belirtiyor.
Risk altındaysanız Apple cihazlarınızda Kilitleme Modunu etkinleştirin: Apple, bu modu gazeteciler ve insan hakları savunucuları gibi yüksek tehdit altındaki kişiler için tasarladı. Kilitleme Modu, saldırı yüzeyini daraltmaya yardımcı olur ve bazı sıfır tıklama tekniklerine karşı etkilidir, ancak sessiz mesajlara dayanan saldırıları engellemez.
Protect Star, Android cihazlar için Alman SRLabs şirketinin SnoopSnitch adlı uygulamasını öneriyor. Bu uygulama, sessiz mesajları ve IMSI yakalayıcı saldırılarını tespit etmede lider bir araç. Düşük seviyeli modem sinyallerini izliyor ve şüpheli etkinlikleri kaydediyor.
Uzmanlar, resmi soruşturma veya gözetim altında olmadıkları sürece çoğu insanın acil bir tehlike altında olmadığını belirtiyor. Devlet destekli casusluk operasyonları büyük kaynaklar gerektiriyor ve genellikle haklı bir gerekçe olmadan sıradan insanlara yönelik olmuyor.
Ancak bu ihtiyati tedbirlere uymak, dijital gizliliğin her zamankinden daha fazla tehdit altında olduğu bir dünyada dijital güvenliğin artırılması ve hedef alınma ihtimalini azaltılması yönünde önemli bir adımdır.
Arap Postası