AA muhabirinin derlediği bilgilere göre, Milli İstihbarat Teşkilatının 2937 sayılı Kanun'un verdiği teknik istihbarat ve siber güvenlik yetkileri çerçevesinde Litvanya'daki ana sunucudan elde ettiği 215 bin 92 kişilik veri tabanı, ceza yargılamalarında örgüt hiyerarşisinin haritasını çıkardı.
MİT, FETÖ'ye sızan elemanları vasıtasıyla Temmuz 2014'te ByLock programının varlığından haberdar oldu. Yapılan incelemelerde yazılımın, örgütün siber yapılanmasındaki yöneticisi tarafından 17-25 Aralık süreci öncesinde, Kasım 2013'te verilen özel talimatla geliştirildiği ve sunucu güvenliğinin de bu kişiye emanet edildiği saptandı.
Bunun üzerine FETÖ'nün bu gizli ağını çökertmek amacıyla MİT bünyesindeki Siber Savunma ve Güvenlik Dairesi Başkanlığı bünyesinde bir tim kuruldu. Gizli operasyonu yürüten bu ekip, veri tabanı uzmanları, kripto analistler, ağ uzmanları, beyaz hackerlar ve tersine mühendislik uzmanlarından oluştu.
- NOEL GECESİ OPERASYONU
Siber tim, FETÖ'ye hizmet veren ana sunucunun Litvanya'da "Bastic Servers" isimli bir firmada bulunduğunu ve örgüt yöneticilerince anonim ödeme yöntemleriyle kiralanan 9 adet IP adresi üzerinden çalıştığını belirledi.
Sunucuya yönelik operasyon sürecinde ilk siber taarruz Ağustos 2015'te düzenlenerek sistemin zaafları ve güvenlik duvarının mukavemeti ölçüldü. Ardından Kasım 2015'te güvenlik duvarı aşılsa da veri trafiğindeki anormallik örgüt tarafından fark edilince sistem geçici olarak kapatıldı.
Siber istihbarat uzmanları, asıl büyük darbeyi vurmak için şirket çalışanlarının Noel kutlamaları nedeniyle dikkatinin dağılacağını öngörerek 25 Aralık 2015 gecesini bekledi. Noel gecesi başlatılan siber saldırıyla güvenlik duvarı tamamen aşıldı.
Sızma işleminin ardından MİT ekibi, şirketin müşterileriyle iletişim kurduğu e-posta hesabını hackleyerek örgüt yöneticisi yazılımcıya "sunucuda sorun olmadığına" dair sahte mesajlar gönderdi. Bu sırada sunucuya yerleştirilen bir "backdoor" (arka kapı) vasıtasıyla veriler Ankara'ya akıtılmaya başlandı.
Veri akışını daha da hızlandırmak amacıyla siber istihbarat uzmanları sıra dışı bir sosyal mühendislik yöntemine başvurdu. Litvanya'daki veri güvenliği uzmanının bilgisayarına, sevgilisi adına gönderilen fotoğraflarla sızıldı. Böylece izleme ekranlarının kontrolü tamamen MİT'e geçti ve fark edilmeksizin milyonlarca verinin çekilmesi tamamlandı.
MİT'in siber güvenlik uzmanları tarafından uygulamanın derlenmiş kaynak kodlarında yapılan kriptolojik analizlerde, "dosya", "posta" ve "sesli arama" gibi doğrudan Türkçe kelimeler tespit edildi. Sistemin, örgütün Türkiye'deki mensuplarına yönelik özel kurgulandığını ortaya koyan en somut deşifre ise uygulama sunucusunun kaynak kodlarında, yetkisiz erişim denemelerinde ekrana yansıyan hata iletisinin "yetkiniz yok" şeklindeki Türkçe kodlaması oldu.
Kullanıcılar arasındaki veri trafiğinin ise siber güvenlik standartlarının en üst seviyesinde, karmaşık algoritmalarla uçtan uca şifrelendiği saptandı.
- BYLOCK'UN DEŞİFRESİYLE FETÖ'NÜN İMAMLARI BELİRLENDİ
Operasyon sonucu elde edilen 215 bin 92 kişilik veri tabanının çözülmesiyle, FETÖ'nün "mahrem hizmetler yapılanması"nın haberleşme metodu ilk kez tam anlamıyla açığa çıkarıldı ve devletin eline devasa bir veri hacmi geçti. Operasyon sonucunda 60 bin 748 internet aboneliği, 17 milyondan fazla mesaj, yaklaşık 4,7 milyon e-posta ve 111 bin 637 telefon numarası deşifre edildi.
Bu veriler çerçevesinde, Ocak ve Şubat 2015'teki teknik çalışmalarla FETÖ'nün 81 "il imamı" ve 160 "ülke imamı" tespit edildi.
En kritik tespitlerden biri ise 15 Temmuz darbe girişiminden hemen önce gerçekleşti. 12 Temmuz 2016'da ByLock yazışma içeriklerinden TSK içine sızmış üst düzey rütbeli 600 FETÖ mensubunun kimliği belirlenerek, Genelkurmay Başkanlığına bildirildi.
Ayrıca bu veriler, 2014'teki MİT tırlarının durdurulması olayının, FETÖ'nün mahrem imamlarından talimat alan jandarma personeli eliyle gerçekleştirilen planlı bir örgütsel eylem olduğunu kesin delillerle ortaya koydu.
- BYLOCK ID NUMARALARI ÖRGÜT İÇİ HİYERARŞİYİ DEŞİFRE ETTİ
Çözümlenen veri tabanı incelendiğinde, örgüt üyelerinin uygulamada gerçek isimleriyle değil, sistem tarafından atanan "ID numaralarıyla" yer aldığı saptandı. 1'den başlayarak 215 bini aşan bu ID numaralarının rastgele verilmediği kişilerin örgüt içerisindeki önem kıdem ve bağlılık sırasını gösteren kritik hiyerarşi haritası olduğu belirlendi.
Başlangıçta yalnızca "mahrem yapılanma" ve üst düzey yöneticilerin kullanımına sunulan uygulamanın ilerleyen süreçte tabana yayıldığı tespit edildi.
Bu kapsamda "en kıymetli" olarak nitelendirilen ilk 100 içerisindeki ID numaralarının FETÖ'nün en kritik operasyonel isimlerine ait olduğu deşifre edildi.
Yapılan analizlerde, MİT Kumpası davası sanığı eski emniyet müdürü Erol Demirhan'ın 27, eski Ankara Emniyet Müdür Yardımcısı Oğuz Kiremitçi'nin 28, Serkan Yurtçu'nun 39, Hrant Dink suikastı davası sanıklarından Serkan Şahan'ın 40, Rus Büyükelçi Karlov suikastı planlayıcısının bağlı olduğu Cengiz Özkan'ın 43 ve örgütün ABD imamı Mehmet Yaşa'nın 49 ID numarasıyla ilk sıralarda yer aldığı görüldü.
Hiyerarşik sıralamada öne çıkan diğer kritik isimler ve ByLock ID'leri ise şu şekilde kayıtlara geçti:
"Lokman Kırcılı 84, Mesut Yılmaz 150, Gürsel Aktepe 161, Osman Hilmi Özdil 364, Sadettin Akgüç 452, Zeki Güven 512, Orhan İnandı 613, Yakup Saygılı 852 ve Ahmet Hamdi Parlak 999."
Öte yandan, örgütün propaganda faaliyetlerini yürüten ve "FETÖ'nün Goebbels'i" olarak bilinen firari Cevheri Güven'in ise 3320 ID numarasıyla ilk bin içerisinde yer almasa da örgüt medyası ve gazetecileri arasında ilk sırada yer alacak kadar "kıymetli" olduğu tespit edildi.
- BYLOCK TAMAMEN KAPALI BİR DEVRE OLARAK KURGULANDI
ByLock'u, küresel ölçekte kullanılan WhatsApp, Signal ve Telegram gibi mesajlaşma uygulamalarından ayıran en temel özelliği, uygulamanın "anonimlik" ve "münhasırlık" esasına göre tasarlanması oldu. Standart uygulamalar, kullanıcı tabanını genişletmeyi ve rehber entegrasyonuyla erişilebilirliği hedeflerken, ByLock'un tamamen kapalı bir devre olarak kurgulandığı deşifre edildi.
Uygulamaya kayıt aşamasında telefon numarası, e-posta veya SMS doğrulama kodu gibi kimlikleyici hiçbir bilgi talep edilmedi. Kullanıcıların ağ üzerinden iletişim kurabilmesi ise sadece her iki tarafın da birbirlerinin sistem tarafından üretilen özel "kullanıcı adı/ID" bilgisini bilmesi ve karşılıklı olarak listelerine eklemesiyle mümkün oldu. Bu yapısal zorunluluk sisteme dışarıdan rastgele bir kişinin dahil olmasını imkansız kılarak, ağı sadece örgütsel referansla girilebilen bir kripto üssü haline getirdi.
Uygulamanın ilk sürümleri 2014'ün ilk günlerinde "Google Play" ve "AppStore" gibi platformlarda maskelenerek genel kullanıma sunuldu. Eylül 2014'te Türkiye kaynaklı indirme ve arama istatistiklerinin tepe noktasına ulaşması, örgüt içi kitlesel yüklemelerin talimatlandırıldığı süreçle paralellik gösterdi.
- YARGILAMA SÜREÇLERİ VE YARGITAYIN KESİN HÜKMÜ
MİT tarafından adli makamlara gönderilen dijital veriler, ilk derece mahkemelerinden Yargıtay Ceza Genel Kuruluna kadar çok sıkı bir hukuki denetim süzgecinden geçirildi.
Sanık avukatlarının delilin elde ediliş yöntemine yönelik usul itirazları, evrensel ceza hukuku ilkeleri çerçevesinde karara bağlandı.
İlk derece mahkemeleri, ByLock yargılamalarında Bilgi Teknolojileri ve İletişim Kurumundan alınan CGNAT (sinyal/bağlantı) kayıtları ile adli imaj incelemelerinde tespit edilen "kullanıcı ID" "şifre" "grup yazışmaları" ve "mesaj içeriklerinin" eşleşmesini hükme esas aldı.
Hukuki tartışmalara son noktayı koyan Yargıtay Ceza Genel Kurulu ve Yargıtay 3. Ceza Dairesi içtihatlarında, ByLock'un "sahih delil" olması şöyle açıklandı:
"ByLock'un, küresel mesajlaşma ağlarından farklı olarak yalnızca FETÖ mensuplarının kullanımına sunulmuş özel bir şifreli iletişim ağı olması nedeniyle sisteme dahil olan, kullanıcı adı ve şifre alarak aktif şekilde kullanan şahısların fiillerinin doğrudan 'silahlı terör örgütü üyeliği' delili olduğu kabul edilmiştir.
Yüksek yargı, usulüne uygun adli bilişim standartlarıyla (hashing/özet değer eşleşmesi) doğrulanmış ByLock verilerinin, delil zinciri bozulmaksızın mahkemeye sunulması halinde, sanığın örgütle organik bağını ispatlayan ve başka hiçbir yan delile ihtiyaç duymaksızın mahkumiyete esas teşkil edebilecek nitelikte 'kesin delil' olduğunu hüküm altına almıştır."
MİT'in ByLock sistemini deşifre etmesiyle devlet bünyesindeki kripto yapıların açığa çıkarılmasında stratejik bir başarı sağlandı. Yargıtay kararlarıyla da ByLock'un örgütsel bir iletişim sistemi olduğunun tescillenmesi, "hukuki delili" kesinleştirdi.




