Polise faturalı hackerlık hizmeti

BASKICI rejimlere, muhalif kişilerin bilgisayar ve cep telefonlarını uzaktan kontrol etmeye yarayan ürünler sattığı için uluslararası insan hakları örgütleri ve internet aktivistlerinin hedefi olan İtalyan
hacker şirketi Hacking Team, kimliği meçhul kişiler tarafından hack’lendi ve bütün sırları internete düştü. Şimdiye kadar inkâr ettiği halde şirketin Sudan gibi diktatörlükle yönetilen ülkelere bile rejim karşıtlarını izlemeye yarayan bilgisayar korsanlığı programları temin ettiği, firmadan Türk hükümetinin de 4 yıldır hizmet satın aldığı ortaya çıktı. ABD’nin Annapolis kenti ve Singapur’da da şubesi olan, 40 kişinin çalıştığı şirketin internete yüklenen 400 GB’lık e-postalarında, Türk polisi ve şirketin teknik elemanları arasında yüzlerce yazışma açığa çıktı.

ŞÜPHELER DOĞRULANDI

Firmanın, üçüncü kişilere ait bilgisayar ve akıllı telefonların içine sızdığında, bu cihazların kameralarını, ses kayıt cihazlarını ‘RCS’ denilen bir sistemle uzaktan kontrol etme özelliğine sahip virüs programını, aralarında Türkiye, Suudi Arabistan, Sudan, Rusya gibi ülkelere sattığına dair güçlü işaretler olduğu internet aktivistlerince uzun süredir dile getiriliyordu. ABD’de de FBI, DEA, Savunma Bakanlığı gibi resmi kuruluşlara hizmet verdiği bilinen şirketin pazartesi günü hack edilen yazışmalarında şüpheler doğrulandı. Hürriyet’in uluslararası araştırmacı gazetecilik örgütü OCCRP'nin yürüttüğü endeksleme çalışması sonucu derlediği belgelere göre, Hacking Team ve Emniyet Genel Müdürlüğü’nün bilişim suçlarıyla mücadele biriminde çalışan polisler arasında yapılan yazışmalar 2011’e uzanıyor. 2013’ten beri adı Siber Suçlarla Mücadele Daire Başkanlığı olan birimde çalışan polisler, virüs göndermek için şirketin teknik sorumlularından yardım alıyorlar.

SAHTE WEB SİTESİ

Polisin şirkete 17 Aralık 2013’ten hemen önce gönderdiği bir talepte, hazırlanan sahte bir web sitesine yönlendirilecek hedef kişinin cihazını kontrol etmek için bir kod yazılması isteniyor. Ancak talep biraz daha komplike. Çünkü polis, virüsün sadece belli ülkelerdeki belli IP’leri etkilemesini istiyor. www.yuruyus.com adresli web sitesi için ‘sessiz yükleyici’ yollanıyor. Hacking Team ‘Exploit Scenario’ başlıklı bu dosyayı 17 Aralık 2013 günü kapıyor.

ÖZEL DONANIM

Hacking Team, polise özel donanımlı bilgisayarlar da sağlıyor. Ancak Ocak 2014 tarihli bir e-posta alışverişinde şirketin 27 Kasım 2013’te Emniyet Genel Müdürlüğü adresine gönderdiği, network enjektörü bir dizüstü bilgisayarın Türkiye’de gümrüğe takıldığı anlaşılıyor. Şirket 600 Euro’luk fatura yolluyor ve polisler bilgisayarı gümrükten çıkarmaya çalışıyorlar.

İLK KURULUM AĞUSTOS 2011’DE

Anlaşmanın imzalanmasından sonra Hacking Team, Emniyet Genel Müdürlüğü’ne ilk kurulumu Ağustos 2011’de yapıyor. O zaman şirketle Siber Suçlarla Mücadele Şube Müdürlüğü’nden Ahmet Koçak yazışıyor. Koçak yazışmalarda kurumsal e-posta adresi yerine bir gmail hesabı kullanıyor ve e-postalarını kısa tutuyor.

NASIL ÇALIŞIYORLAR?

17 Aralık 2013 operasyonundan önce yoğunlaşan yazışmalar, polisin aralarındaki özel haberleşme platformunda bir başvuru dosyası açmasıyla başlıyor. Örneğin 11 Aralık 2013’te polis “Exploit” başlığıyla talepte bulunuyor. Ve mesajına eklediği hedef kişiye yollanacak ‘Mücadelem’ adlı Word dosyasının RCS’ye (uzaktan kontrol sistemi) hazır hale getirilmesini istiyor. Teknik sorumlu, birkaç dakika sonra, RCS’nin güncel haliyle üretilmiş bir ‘sessiz yükleyici’ dosyasını kendisine yollamasını istiyor. Polis satın aldığı RCS’den ürettiği ‘sessiz yükleyici’yi ‘zip’li halde gönderiyor. Teknik sorumlu da açılır açılmaz hedef bilgisayar-akıllı telefona virüs bulaştıracak dosyayı üretip polise iletiyor. Her şey 3 saat içinde bitiyor.

AKTÖRLER DEĞİŞTİ ANLAŞMA DEVAM

YAZIŞMALARDA, 17 Aralık 2013’te başlayan Türkiye’deki rüşvet operasyonundan bir hafta önce polislerin şirketten taleplerinin arttığı görülüyor. Yolsuzluk soruşturmasının Gülen Cemaati’nin bir komplosu olduğu yönündeki iddiaların gündeme geldiği ve Cemaat bağlantılı olduğu öne sürülen binlerce polisin görev yerinin değiştirildiği 2014’te ise Türk polisinin Hacking Team ile görüşmek için kullandığı e-posta adresi ve şirketle yazışan polisler değişiyor. Ama aktörler farklı olsa da işbirliği devam ediyor. Ve 2015’in şubat ayında da Emniyet Genel Müdürlüğü Hacking Team ile olan kontratını yenilemeye karar veriyor.

KRİPTO BİLE DURDURAMIYOR

Virüs bulaştırılan bir bilgisayar ve akıllı telefonu uzaktan komuta etmenin dışında cihazların içindeki tüm e-posta, fotoğraf ve kayıtlı dosyaları çalmaya da yarayan RCS, aynı zamanda kullanıcılara tüm antivirüs programlarını ve kriptoları aşmayı vaat ediyor. Yazışmalarda RCS’nin, 17 Aralık soruşturmaları sonrası dönemin Başbakanı Tayyip Erdoğan’ın kriptolu telefonlarının dinlenmesinde kullanılıp kullanılmadığına dair bir detay yok. Ancak belgelerde, Türkiye’de polisin virüslü programı 50 hedefte kullandığı belirtiliyor.

GÖRÜŞMELER E-POSTAYLA

EMNİYET Genel Müdürlüğü’nün polisleri, Hacking Team’in teknik sorumlularıyla genelde gmail’den alınmış e-postalar üzerinden görüşüyorlar. 17 Aralık Rüşvet Operasyonu’ndan önce kullanılan e-posta adresi, ‘tnpnotcenter2@gmail.com’. 17 Aralık’tan sonra 2014’te yapılan yazışmalarda ise bu adres değişiyor ve ‘tnpticketsystem@gmail.com’ ile ‘tnpticket@gmail.com’ adresleri kullanılıyor. Adreslerdeki ‘TNP’, Emniyet Genel Müdürlüğü’nün İngilizcesi ‘Turkish National Police’in baş harflerini temsil ediyor.

SİNGAPUR ÜSTÜNDEN OLSUN

BELGELERDEN en ilginci, Türkiye’nin, Hacking Team’le Kasım 2014’te biten sözleşmesini yenilemeye karar verdiğini gösteren yazışmalar. Emniyet Genel Müdürlüğü, 2015’in başında sözleşmeyi yenilemeye karar veriyor. Polis Abdulkerim Demir, 11 Şubat 2015’te resmi e-posta adresinden Hacking Team’e mesaj gönderiyor: “Anlaşmayı Singapur üzerinden yaparsanız bizim için tamamdır.” Şirket ertesi gün cevap veriyor: “Avukatlarla görüştüm, ürün orada geliştirilmediği için maalesef sizin önerdiğiniz gibi Singapur üzerinden çalışamayız.” 16 Şubat’ta Demir bir mesaj daha yazıyor ve Siber Suçlarla Mücadele Şube Müdürü Kerim Altıay’la görüştüğünü söyleyip “Altıay, yeni bir sözleşme yerine eskiyi uzatabilirsiniz dedi” diyor. Ancak Hacking Team İtalya’daki yeni yasa nedeniyle bunun da mümkün olmadığını söylüyor. 24 Şubat 2015’te Demir bir mesaj daha yazıyor ve Altıay’la konuştuğunu belirtiyor: “Karar verdik. Anlaşmayı kabul ediyoruz. Sonraki adım nedir? Demo, eğitim vesaire.”