Fetullahçı Terör Örgütünün (FETÖ) haberleşme programı "Bylock" kullandıkları tespit edilen Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) çalışanı 26 şüpheli hakkında hazırlanan iddianamede, şifreli haberleşme programı "Bylock" ile ilgili şu ana kadar yapılan çalışma ve analizlerle ilgili en kapsamlı bilgiler yer aldı. Buna göre şu ana kadar ulaşılan 215 bin 92 kullanıcıdan, parolası çozumlenebilen kullanıcı sayısının 184 bin 298 olduğu belirtildi.

İstanbul Cumhuriyet Başsavcılığınca hazırlanan iddianamede, BDDK Destek Hizmetleri Daire Baskanlıgının, "FETO/PDY ile bağlantılı oldukları gerekcesiyle 38 kurum calısanının acıga alındıgı ve bunlardan 33'unun ByLock programını kullandıkları" yönündeki 26 Ağustos 2016 tarihli raporun gönderildiği İstanbul Cumhuriyet Başsavcılığı Terör ve Örgütlü Suçlar Bürosunun, haklarında daha once islem yapılmayan 26 supheli hakkında "FETO/PDY uyesi olma" isnadıyla sorusturma baslattığı hatırlatıldı.

"Başka ülkelerde kayıtlı mobil telefon hatları kullanıyorlar"

FETÖ ile ilgili diğer iddianamelerde olduğu gibi, örgütün genel değerlendirmesi, işleyişi, hukuki nitelendirilmesi, amacı, paralel devlet kurma çabaları, hiyerarşik, zihinsel, mali, sosyal ve kültürel yapısı ile yönetim modeli, istihbarat ağı, kullandığı yöntemler ve gelir kaynaklarının başlıklar halinde anlatıldığı iddianamede, delil olarak değerlendirilen ByLock programının teknik analizi yapıldı.

Örgüt üyelerinin acil durumlarda görüşülmesi gereken bir konuyla ilgili, birinci derecede yüz yüze haberleşme yöntemini kullandığı, mecbur kalınmadıkca telefonla gorusme yapılmadığı belirtilen iddianamede, örgutun en onemli haberlesme aracının da mobil telefonlar olduğuna vurgu yapıldı.

İddianamede, terör örgütü mensuplarının kendi adlarına kayıtlı olmayan mobil telefon hatları temin edip, bunları belirli aralıklarla cihazlarıyla birlikte degistirmelerinin bile legal oldugunu iddia ettikleri faaliyetlerinin illegal oldugunu ve bunları gizlemeye calıstıklarını ortaya koymak acısından onemli bir veri olduğu kaydedildi.

Örgutun ust duzey "abi" ve "ablaları"nın, sadece hangi ulkeye ait oldugunun gorulebildigi baska ulkelerde kayıtlı mobil telefon hatları kullandıkları, yurt dısındaki okullarla irtibat icin ise kiralık hatlar vasıtasıyla sifreli IP telefon kullandıkları anlatılan iddianamede, mobil veri ile iletisime imkan tanıyan Skype, Tango, ByLock, Kakaotalk, WhatsApp ve benzeri programların da dusuk maliyetli olması ve mesajlasmaların sifrelenerek korunması sebebiyle sık tercih edilen haberlesme yontem ve aracı olduğu ifade edildi.

"17-25 Aralık sürecinden sonra ByLock kullanımına başlandı"

Örgüt lideriyle çoğunlukla en sağlıklı haberleşme yöntemi olarak kabul edilen canlı kuryeyle haberleşildiği, talimat almak veya faaliyetler hakkında bilgi vermek amacıyla ABD'nin Pensilvanya eyaletine gidilerek orgut lideriyle yuz yuze gorusuldüğü ve talimatların bizzat liderlerinden alındığı anlatılan iddianamede, "Casusluk sebekesi gibi hareket eden ve gizlilige buyuk onem veren FETO, ozellikle 17-25 Aralık surecinden sonra suc faaliyeti icinde olmanın bilinciyle muhtemel telefon dinlemelerine karsı, o gune kadar orgut ici iletisimde kullandıgı programlar terk edilerek, orgut tarafından gelistirilen kriptolu haberlesme programı ByLock'u kullanmaya baslamıstır." ifadesine yer verildi.

İddianamede, FETÖ elebaşı Fethullah Gülen'in, "Tum uyeler ByLock programı uzerinden gorusmeler yapsın, normal telefonla gorusme yapanlar hizmete ihanet etmis olur" seklindeki talimatının ByLock programının orgut icin ne anlama geldigini gostermesi bakımından onemli olduğu vurgulanarak, örgüt üyelerinin Gülen'in bu talimatıyla, ozel bir server uzerinden yalnızca örgüttekilerin kullanabilecegi, ozel bir yazılım olarak uretilen, üyelerin desifre olmadan kendi aralarındaki iletisimi saglama amaçlı, ByLock isimli kriptolu program uzerinden haberlesmeye basladıklarının anlasıldığı dile getirildi.

ByLock programının kurulum dosyası olmadan, haricen ya da internet uzerinden temininin mumkun olmadığı, programa erisimi orgut uyelerinin birbirlerine kurulum dosyasını dijital ortamda vererek sagladığı ve bu ozelligi nedeniyle de programın orgute aidiyeti kesin olan bir program olduğu aktarılan iddianamede, bunun da ByLock programına, FETO/PDY icerisinde faaliyet gostermeyen bir kisinin ulasmasının mumkun olmadıgını gösterdiğine işaret edildi.

"Genellikle ABD üzerinden bağlantı gerçekleşmektedir"

ByLock programının, Bluetooth, flashbellek vb. ile kurulum dosyasını telefona kopyalamayla baslayan ozde bir mesajlasma programı olduğuna yer verilen iddianamede, giris sifresi olusturulduktan sonra sisteme Turkiye haricinden baska bir ulkenin serverı uzerinden baglantı saglanabildiği ve bu baglantının genellikle ABD uzerinden gerceklestiği belirtildi.

İddianamede, ByLock'un sunucusunun Litvanya'da oldugu, program uzerinden gonderilen mesajların, alıcı tarafından silinmemis ise 24 saat icerisinde, sistem tarafından otomatik olarak silindigi, gondericinin mesajı gonderdikten sonra telefonundan silmesi ve alıcının mesajı okuması durumunda sistemin mesajı otomatik olarak sildiği, gelen mesajlardan telefonların ozelliklerine gore ekran goruntusu ve kopyasının alınabildiği anlatıldı.

Programın once Ingilizce yazılım olarak, daha sonra da Turkce yazılım guncellemesi yapılarak "Turquoise" ismiyle tum Turkiye'deki örgut mensuplarının hizmetine sunulduğu, orgut tarafından programın Turkce- Ingilizce versiyonlarının kullanıldığı ifade edilen iddianamede, şunlar kaydedildi:

"ByLock ve Turquoise isimli versiyonlar basta App Store ve Play Store olmak uzere hicbir magazada satısa sunulmamakta, orgut uyeleri dısında temini mumkun olmamaktadır. Program kullanılmaya baslandıktan sonra basta orgutun elebasısı Fetullah Gülen olmak uzere orgutun ust yoneticilerinin emir ve talimatlarının, bolge imamlarına, bolge imamları vasıtasıyla il ve ilce imam, abi ve diger sorumlulara, onların aracılıgıyla da tum diger orgut mensuplarına ulastırıldıgı bilinmektedir.

Örgutun 15 Temmuz 2016 gunu ika ettigi silahlı kalkışma-darbe tesebbusu eyleminin hemen akabinde, 'ByLock silinsin, telefonlar formatlansın' talimatını vermesi, sorusturmalar kapsamında yakalanan tum orgut mensuplarının telefonlarını ya formatlattıklarının ya da yenilediklerinin tespit edilmesi, ByLock programının FETO/PDY'ye aidiyetini, programı kullananın da orgute mensubiyetini gosteren en onemli karinedir."

"Google'da 'ByLock' aramaları 7-13 Eylul 2014 aralığında tavan yaptı"

İddianamede, ByLock ve uygulama sunucularının ayrıntılı teknik calısmalara tabi tutulduğu, bu calısmalarda uygulamanın teknik tasarımına, mimarisine, isleyisine, aynı islevi goren uygulamalarla benzer ve farklı yonlerine, kullanıcı profiline iliskin hususların degerlendirildiğine vurgu yapılarak, "Google Play'de 2014 yılının baslarında kullanıma sunulan ve 2016 yılının ilk aylarına kadar cesitli versiyonlarla kullanımda bulunan ByLock uygulamasında, kriptolu anlık mesajlasma, kriptolu sesli gorusme, grup mesajlasmaları, dosya paylasımı, e-posta iletişimi, arkadas ekleme ozellikleri mevcuttur. Uygulama uzerinden telefon numarası veya ad-soyad ilgileriyle arama yapılarak kullanıcı ve telefon rehberindeki kişilerin de otomatik olarak eklenmesine imkan bulunmamaktadır. Kullanıcıların birbirleriyle ByLock uygulaması uzerinden iletisime gecebilmeleri icin tarafların birbirlerinin 'kullanıcı adı/kodu' bilgilerini bilmeleri ve her iki tarafın digerini arkadas olarak eklemesi gerekmektedir." denildi.

Darbeye teşebbüs tarihi olan 15 Temmuz 2016'dan oncesine dair ByLock uygulamasına iliskin acık kaynaklarda yurutulen arastırmalar sonucunda, uygulamanın Google Play ve Apple Store uygulama marketlerinden yayından kaldırıldığı ve uygulama kurulum dosyalarına erisimin devam ettiginin tespit edildiği aktarılan iddianamede, 17 Aralık 2013 ve 17 Subat 2016 tarihleri arasında 'ByLock' anahtar kelimesi kullanılarak yapılan Google aramalarına göre, aramaların 7-13 Eylul 2014 tarih aralıgında tavan yaptıgı, 2015 yılının baslarında inise gectigi ve sonraki surecte de tekrar yukselise gecmediginin belirlendiği anlatıldı.

"Bylock'un indirilmesi değil, kullanılma durumu irdelendi"

İddianamede, ByLock uygulamasıyla ilgili Turkiye dısında Fransa, Ingiltere ve ABD'de de arama yapılmasına rağmen aramaların neredeyse tamamının Turkiye kaynaklı oldugu, diger ulkelerden yapılan aramaların da orgutun yabancı ulkelerdeki üyeleri veya Turk kullanıcılar tarafından VPN baglantısı ile gerceklestirildiginin degerlendirildiği kaydedilerek, şu bilgilere yer verildi:

"Indirme sayılarının, uygulama sunucusu uzerinde oldugu gorulen 215 bin 92 adet kullanıcı sayısıyla uyumsuz olmadıgı degerlendirilmektedir. Nitekim tum calısmalarda, bilincli veya bilincsiz indirme degil, kullanma durumu irdelenmistir. Dolayısıyla, muhtelif indirme rakamlarından ziyade, uygulamaya kayıt olmus kullanıcıların esas alınması gerekmektedir. Twitter'da, 15 Temmuz 2016 tarihi oncesinde ByLock uygulamasına iliskin paylasımlarda bulunan kullanıcıların buyuk cogunlugunun, FETO/PDY lehine paylasımlarda bulundugu gorulmustur. Bu durum, kimligi tespit edilebilen hesap kullanıcılarının örgüte muzahir sahıslar olduklarının, kamuoyuna yansımasında once uygulamayı bildiklerinin ve yaygın sekilde kullandıklarının gostergesi olarak degerlendirilmistir."

"ByLock bilgisine 15 Temmuz'dan önce Ekşisözlük'te de rastlanılmadı"

ByLock uygulamasının, 15 Temmuz'dan önce, belirli sayıda olmak uzere, Twitter dısındaki cok az platformda yer aldıgı, Eksisozluk, Uludagsozluk ve Incisozluk gibi guncel konuların ve kavramların yogun olarak paylasılıp tartısıldıgı platformlarda uygulamayla ilgili herhangi bir bilgiye rastlanılmadığına dikkat çekilen iddianamede, "Toplumda ve hatta teknik konularla ilgili insanlar arasından bilinirligi yok denebilecek seviyedeyken, istatistikler goz onunde bulunduruldugunda, diger ulkelere kıyasla Turkiye'den kullanım degerlerinin acık, farklı, yuksek olması, (diger tum ulkelerin toplamından cok daha fazla) uygulamanın amacı hakkında fikir veren en onemli unsurlar arasında gorulmektedir." değerlendirmesinde bulunuldu.

İdidanamede, iki kullanıcı arasında iletilen verilerin kriptografik algoritması kullanılarak sifrelendiginin belirlendiği, kriptografik algoritmanın bir tur acık anahtarlı/asimetrik sifreleme algoritması olduğu ve biri gizli digeri acık olmak kaydıyla iki adet anahtar kullanarak sifreleme yaptığı ifade edilirken, şöyle devam edildi:

"Uygulama sunucusunu yoneten sahsın, uygulamanın hizmet sunucuyu ve IP adreslerini kiralama yontemi ile temin ettigi, soz konusu hizmetlere ait bedelleri aylık ve uc aylık aralıklarla odedigi, bu islemleri [email protected] adlı elektronik posta adresi uzerinden gerceklestirdigi tespit edilmistir. Bahsi gecen sunucunun, Litvanya'da hizmet veren 'Baltic Servers' isimli firmanın kiraladıgı sunuculardan biri oldugu gorulmustur."

Uygulama sunucusu yoneticisinin, uygulamayı kullananların tespitini nispeten zorlastırmak amacıyla 8 adet ilave IP adresi kiraladığı ve 15 Kasım 2014'te uygulama icin actıgı bir web sayfasında, Ortadogu'dan gelen bazı IP adreslerinin uygulamaya erisimini engelledigini duyurduğu anlatılan iddianamede, "Uygulama sunucularına yonelik yurutulen teknik incelemeler neticesinde elde edilen bilgilerle, sahsın engelleme islemini 17 Kasım 2014 tarihinde yaptıgı, fakat 15 Kasım 2014 tarihinden onceki erisim log kayıtlarını veri tabanından sildigi tespit edilmistir. Engelleme islemine konu IP adreslerinin tamamına yakınının Turkiye IP adresleri aralıgında oldugu, dolayısıyla sahsın, acıklamalarında, 'Ortadogu' derken aslında ozellikle Turkiye'den gelen baglantıları engellemeye yonelik bir calısmada bulundugu anlasılmıstır. Bu yontemle uygulamayı kullananların tespitinin onune gecilmesini amaclayan kurgusal baska bir tedbir alındıgı degerlendirilmektedir." denildi.

"1 milyon 218 bin 784 cagrı, 17 milyon 169 bin 632 mesajlasma"

İddianamede, uygulama sunucusu yoneticisinin gerceklestirdigi IP engellemesinin, Turkiye'deki kullanıcılarının uygulamaya erisimlerini engellemekten ziyade, kullanıcıların VPN kullanılması sonucunda gercek IP adresleri ile sunucuya baglanmalarının tespit edilmesini onlemeyi amacladıgı sonucuna varıldığı anlatılarak, yurutulen calısmalar sonucunda ByLock uygulama sunucusundaki veri tabanı dosyaları, sunucu yoneticisi tarafından girilen komutlar ve sunucuda calısan yazılım dosyalarının elde edildiği belirtildi.

İddianamede, ByLock uygulaması üzerinde yapılan çalışmalar sonucu, bütün çağrı hareketleri, mesajlaşma, mailleşme ve rehber bilgileri tablolarına ilişkin elde edilen şu verilere de yer verildi:

"Uygulamaya kayıt olan kullanıcı sayısı 215 bin 92, parolası çozumlenebilen kullanıcı sayısı (çozumleme islemi devam etmektedir) 184 bin 298, olusturulmus toplam grup sayısı 31 bin 886, toplam mesaj icerigi (gonderilen ve alınan butun mesajlar) 17 milyon 169 bin 632, çozumlenen mesaj icerigi (çozumleme islemi devam etmektedir) 15 milyon 520 bin 552, verilerdeki toplam e-posta icerigi 3 milyon 158 bin 388, çozumlenen e-posta icerigi (çozumleme islemi devam etmektedir) 2 milyon 293 bin 518, an az bir kez mesaj atmıs ve/veya almıs şahıs sayısı 60 bin 473, sesli gorusmeyi kullanan şahıs sayısı 78 bin 165, sadece sesli iletisim icin kullanan şahıs sayısı 46 bin 799."

"Global uygulama maskesiyle FETÖ hizmetine sunuldu"

Uygulamayı gelistiren ve kullanıma sunan sahsın, daha once yaptıgı islere iliskin referansları ile erişilebilir iletişim bilgilerinin bulunmadıgı, sektordeki gecmisinin belirsizlik arz ettigi, kullanıcı sayısını artırmayı, ticari deger haline gelmeyi hedeflemedigi ve uygulamanın tanıtılmasına yonelik girisimlerinin olmadığı vurgulanan iddianamede, şunlar kaydedildi:

"Kullanıcı adlarının, grup isimlerinin ve cozumlenen sifrelerin ve içeriklerin buyuk cogunlugunun Turkce ifadelerden olusması, uygulama sunucusu yoneticisinin gerceklestirdiği engellemelerin tamamına yakının Turkiye IP adreslerine yonelik olması, Turkiye'de kullanıcıların uygulamaya erisiminin, VPN vasıtasıyla gerceklestirilmesine zorlanması, Google uzerinden gerceklestirilen aramaların neredeyse tamamının Turkiye'deki kullanıcılar tarafından gerceklestirilmesi, ülkedeki IP adreslerinden erisimin engellendigi tarih itibariyle uygulamaya yonelik Google aramalarında buyuk bir artıs olması, uygulamayla ilişkili internet kaynaklı yayınların cogunlukla sahte hesaplar uzerinden FETO/PDY lehine paylasımlarda bulunulması, 200 bini askın kullanıcı kitlesine sahip ByLock'un 15 Temmuz darbe girişimi oncesinde ne Turk kamuoyu ne de yabancılar tarafından bilinmemesi/tanınmaması hususları birlikte degerlendirildiginde, bu uygulamanın global bir uygulama maskesi altında, FETO/PDY mensuplarının kullanımına sunuldugu anlasılmıstır."

"38 haneye varan parolalar kullanmışlar"

İddianamede, ByLock uygulamasını kullanan örgüt mensuplarının kendilerini gizlemek amacıyla çok uzun haneli parolalar belirlediğine de işaret edilen iddianamede, şöyle denildi:

"Örnegin cozumu tamamlanan veriler arasında 38 haneye varan parolaların yer aldıgı ve cozumu tamamlanan parolaların yarısından fazlasının 9 hane ve uzerinde karakter icerdigi, belirli bir tarihten sonra uygulamanın Android market veya Apple Store'dan indirilmesi yerine, kullanıcıların cihazlarına manuel olarak yuklendigi, uygulamaya kayıt esnasında gercek isimlerin 'kullanıcı adı' olarak belirlenmedigi, haberlesme iceriklerinde ve uygulamadaki arkadas listelerinde kisilerin gercek bilgileri yerine orgut icerisindeki kod adlarına yer verildigi gorulmustur. Elde edilen ve cozumleme islemleri tamamlanan mesajlasma iceriklerinin tamamına yakınının FETO/PDY unsurlarına ait orgutsel temas ve faaliyetleri icerdigi ve orgute ait jargonla ortustugu gorulmustur.

FETO/PDY unsurlarınca gerceklestirilen 15 Temmuz 2016 askeri darbe girisimi sonrasında adli kontrol islemlerine (gozaltı, tutuklama, yakalama vb.) tabi tutulan orgut mensuplarının ifadelerinden, 2014 yılının baslangıcında FETO/PDY orgut uyeleri tarafından orgutsel haberlesme aracı olarak kullanıldıgı anlasılmıstır. İzah edilen durumların hepsi birlikte degerlendirildiginde, ByLock uygulamasının, global bir uygulama goruntusu altında munhasıran FETO/PDY silahlı teror orgutu mensuplarının kullanımına sunuldugu sonucuna varılmaktadır."

Şüphelilerin eylemleri

İddianamede, bu programı kullandıkları tespit edilen BDDK görevlisi şüphelilerin eylemlerine de yer verildi.

Kurumda baskan musaviri olarak gorev yapan tutuklu suphelilerden Murat Türker'in, FETO/PDY mensupları arasında haberlesmeyi saglamak, orgut lider ve yoneticilerinin emir ve talimatlarını aktarmak icin gelistirip kullandıgı, kriptolu haberleşme programı ByLock'u adına kayıtlı hat uzerinden 12 Ağustos 2014 tarihinde indirdiği ve yogun kullanım karsılıgı turuncu renk grubuyla kullandıgı belirtildi.

İddianamede, örgutle bağlantılı oldugu gerekcesiyle kurumundan ihrac edilen ve bu gerekceyle hakkında suc ihbarı yapılan supheli Türker'in orgut lider ve yoneticilerinden soz konusu program uzerinden emir ve talimat alarak sureklilik ve etkinlik arz edecek sekilde orgutun hiyerarsik yapısı icerisinde yer almak suretiyle uzerine atılı, "silahlı terör örgütü üyeliği" suçunu gerçekleştirdiği dile getirildi.

Diğer şüphelilerin de örgüt yöneticilerinin emir ve talimatlarını aktarmak için bu programı çeşitli tarihlerde telefonlarına indirdikleri ve örgütün hiyerarşik yapısı içinde aynı suçu işledikleri belirtilen iddianamede, ifadesi alınamayan firari 5 şüpheli haricinde BDDK görevlisi tutuklu 21 şüphelinin, ifadelerinde ByLock programını telefonlarına indirip kullanmadıkları ve örgütle bir ilgilerinin olmadığı yönünde beyanlarda bulunduğu kaydedildi.