Milli İstihbarat Teşkilatı'nın (MİT), Fetullahçı Terör Örgütü'nün (FETÖ) örgütsel haberleşme sistemi olarak kullandığı ByLock uygulamasına yönelik yürüttüğü kapsamlı siber operasyonun teknik ayrıntıları ve adli süreçlerdeki etkisi ortaya çıktı.
MİT'in Litvanya'daki ana sunucudan elde ettiği 215 bin 92 kişilik veri tabanı, örgütün hiyerarşik yapılanmasını gözler önüne sererken, elde edilen dijital veriler yargı süreçlerinde önemli deliller arasında yer aldı.
MİT, ByLock'u 2014 yılında tespit etti
AA'nın derlediği bilgilere göre MİT, 2937 sayılı Kanun'un verdiği teknik istihbarat ve siber güvenlik yetkileri kapsamında yürüttüğü çalışmalar sırasında, FETÖ içerisine sızan unsurlar aracılığıyla Temmuz 2014'te ByLock uygulamasının varlığını öğrendi.
Yapılan incelemelerde uygulamanın, örgütün siber yapılanmasını yöneten isim tarafından, 17-25 Aralık süreci öncesinde Kasım 2013'te verilen talimat doğrultusunda geliştirildiği, sunucu güvenliğinin de aynı kişi tarafından yönetildiği belirlendi.
Bunun üzerine MİT bünyesindeki Siber Savunma ve Güvenlik Dairesi Başkanlığı bünyesinde veri tabanı uzmanları, kripto analistler, ağ uzmanları, beyaz hackerlar ve tersine mühendislik uzmanlarından oluşan özel bir ekip kuruldu.
Noel gecesi düzenlenen operasyonla sunucuya sızıldı
Siber ekip, ByLock'un Litvanya'da faaliyet gösteren Bastic Servers isimli şirkette barındırıldığını ve anonim ödeme yöntemleriyle kiralanan dokuz IP adresi üzerinden çalıştırıldığını tespit etti.
İlk siber taarruz Ağustos 2015'te gerçekleştirilerek sistemin güvenlik yapısı analiz edildi. Kasım 2015'te güvenlik duvarı aşılmasına rağmen veri trafiğindeki hareketlilik örgüt tarafından fark edilince sistem geçici olarak kapatıldı.
MİT uzmanları, şirket çalışanlarının Noel kutlamaları nedeniyle dikkatinin dağılacağını öngörerek 25 Aralık 2015 gecesini bekledi. Noel gecesi gerçekleştirilen siber saldırıyla güvenlik duvarı tamamen aşıldı.
"Arka kapı" ile milyonlarca veri Ankara'ya aktarıldı
Sunucuya erişim sağlandıktan sonra MİT ekibi, şirketin müşterileriyle iletişim kurduğu e-posta hesabını ele geçirerek örgüt yazılımcısına sunucuda herhangi bir sorun bulunmadığı yönünde sahte mesajlar gönderdi.
Aynı süreçte sunucuya yerleştirilen "backdoor" (arka kapı) sayesinde veriler kesintisiz şekilde Ankara'ya aktarılmaya başlandı.
Veri akışını hızlandırmak amacıyla uygulanan sosyal mühendislik yöntemlerinden biri de Litvanya'daki veri güvenliği uzmanının bilgisayarına, sevgilisi adına gönderilen fotoğraflar aracılığıyla sızılması oldu. Böylece izleme ekranlarının kontrolü ele geçirilirken milyonlarca veri fark edilmeden Türkiye'ye aktarıldı.
Kaynak kodlarında Türkçe izler bulundu
MİT'in kriptolojik incelemelerinde uygulamanın derlenmiş kaynak kodlarında "dosya", "posta" ve "sesli arama" gibi doğrudan Türkçe ifadeler tespit edildi.
Sunucu yazılımındaki yetkisiz erişim uyarısının "yetkiniz yok" şeklinde Türkçe kodlanmış olması, sistemin Türkiye'deki örgüt mensupları için geliştirildiğine ilişkin önemli bulgular arasında yer aldı.
Analizlerde kullanıcılar arasındaki tüm iletişimin gelişmiş uçtan uca şifreleme algoritmalarıyla korunduğu da belirlendi.
215 bin kişilik veri tabanı çözüldü
Operasyon sonucunda ele geçirilen 215 bin 92 kişilik veri tabanı sayesinde FETÖ'nün "mahrem hizmetler yapılanması" ilk kez ayrıntılı biçimde ortaya çıkarıldı.
Çalışmalar sonucunda;
- 60 bin 748 internet aboneliği,
- 17 milyondan fazla mesaj,
- Yaklaşık 4,7 milyon e-posta,
- 111 bin 637 telefon numarası deşifre edildi.
İl imamları ve ülke imamları belirlendi
Veriler üzerinde yapılan teknik analizlerle Ocak ve Şubat 2015 döneminde örgütün; 81 il imamı, 160 ülke imamı tespit edildi.
MİT'in en kritik tespitlerinden biri ise darbe girişiminden hemen önce gerçekleşti.
12 Temmuz 2016 tarihinde ByLock yazışmalarından Türk Silahlı Kuvvetleri içerisine sızdığı değerlendirilen üst rütbeli yaklaşık 600 FETÖ mensubunun kimliği belirlenerek Genelkurmay Başkanlığına bildirildi.
Ayrıca elde edilen dijital veriler, 2014 yılında yaşanan MİT TIR'larının durdurulması olayının örgütün mahrem imamlarından talimat alan jandarma personeli tarafından planlanan örgütsel bir faaliyet olduğunu ortaya koyan deliller arasında yer aldı.
ByLock ID'leri örgüt hiyerarşisini ortaya koydu
Veri tabanının çözülmesiyle kullanıcıların gerçek isimleri yerine sistem tarafından verilen ID numaraları kullandığı belirlendi.
1'den başlayıp 215 bini aşan ID numaralarının rastgele oluşturulmadığı, örgüt içindeki önem, kıdem ve bağlılık sırasını gösterdiği değerlendirildi.
İlk etapta yalnızca mahrem yapılanma ve üst düzey yöneticilerin kullandığı uygulamanın zamanla tabana yayıldığı tespit edildi.
İlk 100 ID içerisinde örgütün en kritik isimlerinin yer aldığı belirlendi.
Analizlerde;
- Erol Demirhan'ın 27,
- Oğuz Kiremitçi'nin 28,
- Serkan Yurtçu'nun 39,
- Serkan Şahan'ın 40,
- Cengiz Özkan'ın 43,
- Mehmet Yaşa'nın 49 numaralı kullanıcı kimliklerine sahip olduğu tespit edildi.
Diğer dikkat çeken kullanıcı numaraları ise şöyle sıralandı:
- Lokman Kırcılı: 84
- Mesut Yılmaz: 150
- Gürsel Aktepe: 161
- Osman Hilmi Özdil: 364
- Sadettin Akgüç: 452
- Zeki Güven: 512
- Orhan İnandı: 613
- Yakup Saygılı: 852
- Ahmet Hamdi Parlak: 999
Örgütün propaganda faaliyetlerinde yer alan firari Cevheri Güven'in ise 3320 numaralı ID ile örgüt medyası içerisinde üst sıralarda bulunduğu değerlendirildi.
ByLock yalnızca örgütsel referansla kullanılabiliyordu
İncelemelerde ByLock'un WhatsApp, Signal ve Telegram gibi yaygın mesajlaşma uygulamalarından farklı olarak tamamen kapalı bir sistem şeklinde tasarlandığı belirlendi.
Uygulamaya kayıt sırasında telefon numarası, e-posta adresi veya SMS doğrulaması istenmedi.
Kullanıcıların birbirleriyle iletişim kurabilmesi için yalnızca sistem tarafından oluşturulan kullanıcı adı ve ID bilgilerinin karşılıklı olarak bilinmesi gerekiyordu.
Bu yapı sayesinde sisteme dışarıdan rastgele kullanıcıların dahil olması engellenirken, uygulamanın yalnızca örgütsel referansla kullanılabildiği değerlendirildi.
ByLock'un ilk sürümleri 2014 yılının başlarında Google Play ve App Store'da farklı isimlerle yayımlandı. Eylül 2014'te Türkiye kaynaklı indirme sayılarındaki artışın örgüt içi toplu yükleme talimatlarıyla aynı döneme denk geldiği belirtildi.
Yargıtay: ByLock verileri kesin delil niteliğinde
MİT tarafından adli makamlara iletilen dijital veriler, ilk derece mahkemeleri ile Yargıtay Ceza Genel Kurulu tarafından ayrıntılı teknik ve hukuki incelemeye tabi tutuldu.
Mahkemeler, BTK'dan alınan CGNAT kayıtları ile adli bilişim incelemelerinde tespit edilen kullanıcı ID'leri, şifreler, grup yazışmaları ve mesaj içeriklerinin eşleşmesini hükme esas aldı.
Yargıtay Ceza Genel Kurulu ve Yargıtay 3. Ceza Dairesi kararlarında, ByLock'un yalnızca FETÖ mensuplarınca kullanılan özel bir haberleşme sistemi olduğu değerlendirilerek, usulüne uygun adli bilişim yöntemleriyle doğrulanan ByLock verilerinin, delil zinciri korunmak şartıyla sanığın örgütle organik bağını gösteren ve başka bir yan delile ihtiyaç duyulmaksızın mahkumiyete esas alınabilecek "kesin delil" niteliğinde olduğu hükme bağlandı.
Devletin eline örgütün mahrem yapılanmasına ilişkin kapsamlı veri geçti
MİT'in yürüttüğü operasyonla FETÖ'nün gizli haberleşme ağı büyük ölçüde deşifre edilirken, elde edilen milyonlarca dijital veri örgütün mahrem yapılanmasının çözülmesinde ve adli süreçlerde önemli rol oynadı.
Yargıtay'ın kesinleşen içtihatlarıyla birlikte ByLock'un örgütsel iletişim sistemi olduğu hukuken de tescillenirken, operasyon Türkiye'nin siber istihbarat alanındaki en kapsamlı çalışmalarından biri olarak kayıtlara geçti.





