Hürriyet Daily News Genel Yayın Yönetmeni Murat Yetkin dünkü yazısında, FETÖ / PDY soruşturmalarında “By Lock” isimli mesajlaşma uygulamasının yerini ve arka plandaki bir süredir merak edilen gelişmeleri aktardı.
Bazı kişilerin sadece “bir anlık mesajlaşma uygulaması”nı kullanmaları nedeniyle tutuklanmaları, toplumda “ne oluyor?” düşüncelerine de neden oluyordu. Yani “insanlar sadece bir programı kullanıyor diye tutuklanmalı mı?” diyenler vardı. Yetkin’in yazısı bu eleştirilere bir cevap niteliği taşıyor. Çünkü bu uygulamanın FETÖ örgütü içinde önemli bir yeri olduğu anlaşılıyor. Ancak By Lock’un tespit edilmesi sonrasında, şimdilerde örgütün Eagle adında başka bir uygulamaya geçtiği de düşünülüyor.
Diğer Yollarla Mesajlaşma Kesilince, Bir Özel Uygulama Olduğu Anlaşıldı
Yetkin, uygulamanın MİT tarafından keşfedilmesinin başlangıcını, 17-25 aralık olayları sonrasında TİB’in yönetiminin değiştirilmesi olarak veriyor. Bu olay sonrasında cemaat üyesi olarak bilinen kişilerin arasındaki haberleşme bir anda kesilince, başka bir şekilde haberleştikleri düşünülüyor. O dönem PDY (Paralel Devlet Yapılanması) kapsamında gözaltına alınanların hemen hepsinin cep telefonlarında bu By Lock uygulaması bulununca da, incelenmeye başlanıyor ve gerisi geliyor.
MİT, o dönemde IoS ve Android uygulama dükkanlarında yer alan uygulamanın geliştiricisi firmanın ABD merkezli olması kaydını araştırıyor. Kayıtta yer alan “David Keynes, Oregon” ismi ve firma bilgileri inceleniyor ama bir sonuca ulaşmıyor. Aynı gelişmeyi Reuters da vermişti [1]. Dolayısıyla bu adresin uydurma olduğu düşünülüyor.
Daha sonra uygulamanın yayınlandığı sunucuya bakılıyor. Litvanya üzerinden ulaşılan sunucuya MİT siber uzmanları zaman içinde sızıyor ve içinden bilgileri almaya başlıyorlar.
MİT – FETÖ Arasında Siber Savaş
MİT 2014 yılında ByLock yazılımının Litvanya’daki sunucusuna sızınca, MİT ile FETÖ arasındaki siber savaş yeni bir safhaya giriyor. MİT, bu sunucudan tespit ettiği 40 bin kadar devlet kurumu çalışanını, kendi kurumlarına raporluyor.
Örnek olarak Genel Kurmay’a 600 subayın isminin verildiği kaydediliyor. Ancak Hürriyet’e konuşan ve isimlerinin saklı kalmasını isteyen MİT yetkililerine göre, örgütün sadece Genelkurmay’da değil Türkiye genelinde deşifre olmaya başlaması Emniyet ve Başbakanlık’taki bilgi sızmalarıyla oluyor.
Bu örgüt üyesi raporlamaların yapılması ile, FETÖ örgütünün By Lock’a sızılmış olduğunu farkediyor olsa gerek, o dönem uygulamanın web sitesine –VPN kullanımını zorlamak için olduğu düşünülen– bir mesaj konuluyor. Burada uygulamanın 1 milyon kullanıcıya ulaştığı ve kaynakları zorladığı için iOS ve Android dükkanlardan kaldırıldığı ve Ortadoğu IP’lerine karşı bloklandığı belirtiliyor.
Reuters’un ağustos başında bu yazılımı incelettiği güvenlik uzmanları ise, 1 milyon gibi bir rakama ulaşmış yazılımın kendileri tarafından bilinememesine şaşırıyorlar [1].
Bu arada örgütün haberleşmeyi Eagle isimli başka bir mesajlaşma uygulamasına kaydırdığı görülüyor. MİT, Eagle kodlarının tam olarak kırıp, darbe girişimi ile ilgili mesajlaşma olup olmadığına bakamadan da 15 Temmuz darbe girişimi yaşanıyor.
MİT’in saptamasına göre Cemaatin Emniyet İstihbaratında mühendis olarak çalışan bir elemanı 40 bin kadar ismi toplu halde Başbakanlık eski Veri Toplama Merkezi İstihbarat Şefi Mustafa Koçyiğit’e iletti. Koçyiğit’in de “Burak” ismiyle tanıdığı mühendisten alınan bilgileri (Koçyiğit ifadesinde 20 bin isim diyor) örgütte bağlı bulunduğu “Selahattin” ve “Furkan” ismiyle bildiği “abilere” ilettiğini söylüyor. İstihbaratçılar bu gelişmelerin darbe girişimini YAŞ öncesine çekmiş olabileceği yorumunda bulunuyor.
MİT bugüne dek ByLock’a kayıtlı 215.092 hesaptan Eylül başı itibarıyla 165.178’inin kimliklerinin saptandığını söylüyor. Bunlar içinde en önemlisinin ise ilk 25 kişi olduğu, yayılmanın bu ilk katılımcılardan aşağı doğru olduğu bilgisi veriliyor. Çünkü başlarda doğrudan “internetten uygulama indirme” şeklinde alınan yazılımın, bir aşamadan sonra irtibat görevlisi “abiler ve ablalar” kanalıyla Bluetooth üzerinden indirildiği saptanmış.
Gerçek kimliklerin saptanmasını zorlaştıran bir olayın, hiyerarşide yüksek düzeyde bazı üyelerin, başkalarına ait SIM kartlarıyla, ya da başkalarına ait ADSL bağlantıları üzerinden haberleşme sağlamaları olduğu belirtiliyor.
By Lock FETÖ Tarafından Geliştirilmiş
Reuters’un incelettiği uzmanların da belirttiği üzere, ByLock görünüşte herkese açık ve aslında basit, kolay kırılabilecek bir sistem. Diğer mesajlaşma uygulamalarından farkı ise ancak bildiğiniz insanları arayabilir olmanız. Whatsapp ve benzeri uygulamalarda, telefon rehberinizde olan kişileri, kolaylıkla isimlerinden arayıp, bularak mesajlaşabilirsiniz. Ama By Lock için önce o kişiye sunucu tarafından verilmiş olan sayısal kodu öğrenmeniz gerekiyor. Yani By Lock ancak birbirine kod veren insanların haberleşebileceği bir uygulama.
Yetkin’in verdiği bir örnek de, bir bakanın çocukluk arkadaşı ile ilgili. İsmi verilmeyen bakanın, FETÖ olduğunu bilmediği arkadaşı ile ilgili araştırması sırasında, kendisine ulaştırılan MİT dosyasında, By Lock yazılımı üzerinden, bulunduğu ilin “Kıta İmami” denilen kişiyle 1 yıllık bir sürede tam 109 defa görüştüğü ortaya çıkıyor. Yani bu yazılım bir yandan da “Kripto FETÖ” denilen kişileri ortaya koyabilir gibi gözüküyor.
Yukarıda da belirttiğimiz üzere, MİT yetkililerinin yaptıkları araştırmada, yazılımın sahibi görünen şirketin de tabela şirketi olduğu, kullanılan “David Keynes” gibi yabancı isimler arkasında Türklerin bulunduğu, Cemaat tarafından sanki ABD’de bir şirketmiş gibi kurulup, yazılımın da Türkiye’de üretildiği sonucuna varmışlar. Zaten ByLock yazılımının kaynak kodları arasında bazı Türkçe komutların unutulduğu da görülmüş..
Bu noktada hatırlatalım; TÜBİTAK eski yöneticilerinden Mesut Yılmazer, 11 Eylül’de ByLock’u yazan ekipte yer aldığı kuşkusuyla çıkarıldığı mahkemede tutuklanmıştı [2].
By Lock kullanıcılarının VPN’e geçmeye başlaması ile bir şeyden kuşkulandıkları düşünüldüğünden, MİT 2015 Aralık ve 2016 Ocak’ta sunucunun depolarında ne varsa alıp sistemden çıkarmayı hedeflemiş. MİT’in siber güvenlik ekibi Litvanya’daki sunucuya girerek verileri Yenimahalle’deki karargaha aktarmaya, ByLock’un içini boşaltmaya başlamışlar.
Boşalttıkça da şaşırdıkları kaydediliyor; görünüşte şirket 2014 Kasım ayında Orta Doğu’dan gelen hesapları kapatmıştı ama ABD’de kurulan, Litvanya’da işletilen ByLock’taki 18 milyon civarı yazışma ve 3,5 milyon e-postanın yüzde 99’u Türkçe ve IP’lerin yüzde 98’i Türkiye kaynaklıymış. Bu nedenle de, “Ortadoğu’ya kapattık” ifadesinin Türkiye’den girişleri VPN ve Proxy gibi kimlik gizleme yollarına sevk etmek için olduğu düşünülüyor. Zaten ByLock’taki kullanıcı adlarının tamamına yakını da Türkçe isim ve ünvanlardan oluşuyormuş.
Eagle’a Geçiş
Bu aşamada FETÖ’nün yeni bir uygulamaya yöneldiği görülmüş. Eagle isimli bu sistem, MİT tarafından takip edilmeye başlanmış. ByLock’un çözülmesi darbecilerin hazırlıklarını tamamlayamadan harekete geçmesine yol açmış olabileceği de kaydediliyor. 15 Temmuz darbe girişime giden son hazırlıkların ise Eagle sistemi üzerinden yapıldığı sanılıyor.
Bir yandan Eagle’ın kullanım tarzının çözülmesi, diğer yandan başka haberleşme sistemlerinin olup olmadığını araştırılması ve bu haberleşme sistemleriyle ele geçen 1 dolarlık banknotlar arasında bağlantı olup olmadığının kesinleştirilememesi gibi konular araştırılanlar arasında.
Yazıdaki bir başka not da şu; MİT, 2014 yılında Cemalettin Çelik’in TİB’in başına geçmesini takip eden günlerde, yani 2014 Ocak-Şubat aylarında siber güvenlik uzmanlarının, MİT, Emniyet ve Jandarma’dan TİB’e giden verilerinin (dinleme yapılacak insanların bilgilerinin) yönetildiği yazılımda bir casus program saptamış. Toplam 14 bin satır civarındaki yazılıma gizlice yerleştirilmiş bu program, bütün veri akışını ABD’de bir adrese e-posta olarak kopyalıyormuş.
[1] Amatör Bylock Uygulamasını Kullanan 53 bin Memur FETÖ Şüphesi Altında
[2] Eski Tübitak Üst Yöneticisi M.Y. By Lock Geliştiricisi Olduğu İddiasıyla Gözaltına Alındı