Intellexa'nın, bazı devletler de dahil olmak üzere müşterilerinin gözetim sistemlerine 'TeamViewer' üzerinden uzaktan erişim sağlayabildiği iddia ediliyor.
Uluslararası Af Örgütü’nün yayınladığı yeni rapor, Pakistan’ın Belucistan bölgesinde faaliyet gösteren bir insan hakları avukatının, Intellexa tarafından geliştirilen Predator casus yazılımı ile hedef alındığını ortaya koydu.
Bu, ülkede sivil toplumdan bir kişinin, Intellexa’nın casus yazılım girişimiyle karşı karşıya kaldığı ilk vaka.
Rapora göre avukata WhatsApp üzerinden bilinmeyen bir numaradan şüpheli bir bağlantı gönderildi. Uzmanlar, bağlantının teknik özelliklerinin daha önce tespit edilen Predator “tek tık” saldırılarıyla birebir uyuştuğunu belirtiyor.
Pakistan hükümeti ise iddiaları “asılsız” diye niteleyerek reddediyor.
Büyük gözetim endüstrisi: Intellexa ve Predator nedir?
Bu bulgular, İsrail’den Haaretz, Yunanistan’dan Inside Story ve İsviçre’den Inside IT ile ortak yürütülen araştırmanın bir parçası.
Araştırmada şirket içi belgeler, eğitim videoları ve pazarlama dokümanları dahil olmak üzere Intellexa’dan sızdırılan kapsamlı materyaller incelendi.
Intellexa, rakibi NSO Group’un Pegasus’una benzer şekilde, hem Android hem iOS cihazlara gizlice sızıp mesajlar, aramalar, konum bilgileri, şifreler, ekran görüntüleri ve daha fazlasını çalabilen Predator casus yazılımının geliştiricisi.
Belgeler, Predator’un Helios, Nova, Green Arrow ve Red Arrow gibi farklı isimlerle de pazarlanabildiğini doğruluyor.
Intellexa, 2019’da “yasal istihbarat” ve “gözetim teknolojileri” satmak amacıyla kurulmuş, birden çok ülkede şirketleri ve ofisleri bulunan bir ittifaktı. Sicil kayıtlarına göre Intellexa ve ana holding şirketlerinden Thalestris Ltd, İrlanda’da kayıtlı. Ancak çok daha geniş bir ağda faaliyet gösterdiği biliniyor.
Predator casus yazılımı Android ve iPhone’a sızarak mesajlar, şifreler, fotoğraflar, konum, mikrofon, kamera dahil her şeye erişebiliyor.
Ekran görüntüsü alıp şifreleri çalarken, çağrı kayıtlarını izleyip tüm veriyi kendi sunucularına aktarabiliyor.
Şirket ürünlerinin gazeteciler, muhalifler ve aktivistlere karşı kullanıldığı biliniyor. Gazetecileri, aktivistleri, muhalefet aktörlerini hedef alan casus yazılım sattığı, devletlere “tam gözetim kapasitesi” sağlamadığı ve bazı ülkelerde seçim skandalları yarattığı gerekçesiyle uluslararası çapta eleştirilen ve kınanan bir oluşum.
Tek bir bağlantıyla cihaz ele geçiriliyor
Predator saldırıları genellikle WhatsApp gibi mesajlaşma uygulamalarından gönderilen kötü amaçlı bağlantılar aracılığıyla başlıyor.
Hedef alınan kişi bağlantıya tıkladığında Google Chrome veya Safari tarayıcılarında bulunan "sıfır gün açıklarını" kullanarak ilk erişim sağlanıyor. Ardından ana casus yazılım yükleniyor. Şirketlerin henüz haberinin olmadığı güvenlik zafiyetlerinin hackerlar tarafından keşfedilip kullanılmasına "sıfır gün açığı" adı veriliyor. Bu tür açıkların bilgisi yine hackerlar tarafından alınıp satılabiliyor.
Google Tehdit İstihbaratı Grubu’na (GTIG) göre Intellexa, 2021’den bu yana birçok sıfır gün açığını kullandı. Bunlar arasında Android Runtime, Chrome’un V8 motoru, Apple WebKit, Apple’ın çekirdek IPC sistemi ve ARM GPU sürücüleri yer alıyor.
Mısır'daki saldırı zincirinden Yunanistan seçim skandalına: Predatorgate
Google ve Citizen Lab’in 2023’te ortak yürüttüğü çalışmada, Mısır’da hedef alınan bir dizi kişiye karşı kullanılan iOS sıfır gün saldırı zinciri kaydedilmişti. Bu zincir “smack” adıyla Intellexa tarafından kullanılıyordu.
Eski Mısırlı milletvekili Ahmed Eltantawy, telefonuna “Predator” yazılımı ile sızılmaya çalışılan hedeflerden biriydi.
2023’ün sonlarına doğru yayımlanan “Predator Belgeleri” raporunda ise Intellexa grubuna bağlı casus yazılım ürünlerinin (özellikle Predator) uluslararası çapta yaygın şekilde satıldığı, sivil toplum, gazeteci, muhalif, aktivist gibi grupların hedef alındığı ortaya çıkmıştı.
“Predator Belgeleri”, sadece tek bir ülkedeki vaka üzerine değil, çok sayıda ülkeyi kapsayan bir araştırmaydı. Raporda, Predator’un en az 25 ülkede kullanıldığı iddia ediliyordu.
Ayrıca belgelerde, Yunanistan’ın bu gözetim aracının “merkez üssü” haline geldiği, bazı şirketlerin Yunanistan ya da yakın coğrafyalarda kurulduğu ve yazılımın dağıtımının buradan yapıldığı görülüyordu.
2023 başlarında, Yunan polisi skandalla bağlantılı olduğu iddia edilen bir casus yazılım çalışanının evine baskın düzenlemişti. Evde bilgisayarlar, sabit diskler ve diğer ekipmanlar ele geçirilmişti. Skandal, Yunanistan’da istikrarsızlığa yol açarken, gizli dinleme iddiaları üzerine hükümetten istifalar yaşanmıştı.
Tüm bu olaylar "Predatorgate" adıyla tarihe geçti. Şimdi Af Örgütü'nün yeni çalışması Intellexa'nın halen aktif olduğunu ve Predator'un halen aynı amaçlarla kullanıldığını gösteriyor.
Casus yazılım yöntemleri: Reklamlar, operatör işbirlikleri ve AitM saldırıları
Öte yandan Intellexa’nın saldırı yöntemi yalnızca WhatsApp üzerinden “tıklanan bağlantılar” değil. Af Örgütü'nün son raporu, üç stratejik saldırı yöntemi olduğunu belirtiyor:
1. Operatör işbirliğiyle AitM saldırıları
Bu yöntem mmobil operatör veya internet servis sağlayıcısının desteğini gerektiriyor. Hedef alınan kişi, HTTP uzantılı bir siteyii açtığı anda zararlı yönlendirme yapılıyor.
HTTPS siteleri için de sahte ama geçerli TLS sertifikaları kullanılıyor.
2. Mobil reklamlara sızma
Hedef yalnızca belirli bir reklamı gördüğünde saldırı tetikleniyor. Pulse Advertise ve MorningStar TEC adlı iki şirketin bu sistem için açıldığı belirlendi. Bu tür saldırılar aynı zamanda "sıfır tıklama saldırısı" diye biliniyor. Bunlar, kullanıcının herhangi bir eylemde bulunmasına gerek kalmadan cihazlarına sızıp kontrolü ele geçirebiliyor.
3. Taktik vektörler
Henüz ayrıntıları açıklanmayan bu yöntemlerle cihaz, yine kullanıcının tıklamasına gerek kalmadan da enfekte edilebiliyor.
Google, Intellexa’nın reklam altyapısına sızmak için kurduğu şirketleri tespit ettiklerini ve platformlardan çıkardıklarını duyurdu.
Devlet sitelerini gözetleyebiliyorlar
Sızdırılan dokümanlarda en dikkat çekici iddialardan biri, Intellexa çalışanlarının, bazı devletler de dahil olmak üzere müşterilerinin gözetim sistemlerine "TeamViewer" üzerinden uzaktan erişim sağlayabildiği.
Uzmanlara göre bu, Intellexa’yı olası insan hakları ihlallerinden doğrudan sorumlu hale getirebilir.
12 ülkede aktif
Recorded Future’ın 2025 verilerine göre Predator, aralarında Suudi Arabistan, Kazakistan, Angola ve Moğolistan'ın da bulunduğu 12’den fazla ülkede aktif kullanılıyor.
Buna karşın Botsvana, Trinidad ve Tobago ile Mısır gibi ülkelerde kullanım 2025 baharında durdu.
Google’dan uyarı: Yüzlerce hedefe eşzamanlı bildirim gönderildi
Google, Intellexa müşterilerinin hedef aldığı 2023’ten bu yana bilinen tüm hesaplara “devlet destekli saldırı uyarısı” gönderdiğini duyurdu.
Bu kapsamda Pakistan, Kazakistan, Angola, Mısır, Özbekistan, Suudi Arabistan ve Tacikistan gibi ülkelerde yüzlerce kişi bilgilendirildi.
Google ayrıca tüm Predator bağlantılarını ve alan adlarını Safe Browsing’e eklediğini açıkladı.
Dünyada ticari casus yazılım tehdidi derinleşiyor
Raporlar, Intellexa gibi casus yazılım şirketlerinin yeni sıfır gün açıkları geliştirmeye veya satın almaya devam ettiğini, reklam ekosistemini kötüye kullanarak görünmez saldırılar gerçekleştirdiğini ve bazı devlet müşterilerinin sistemlerini uzaktan kontrol edebildiğini ortaya koyuyor.
Uluslararası baskıya rağmen şirketlerin faaliyetlerini sürdürdüğü ve talebin özellikle Afrika ve Asya’da arttığı vurgulanıyor.
Casus yazılımın “ticari”, “özgür pazar” mantığıyla alınıp satılması; casusluğu sadece devlet değil, “paravan özel şirketler” aracılığıyla meşrulaştırma riskini büyütüyor.