Lübnan’da Yaşanan Pager Cihazlarının Infilak Etmesi Olayının İncelenmesi: Motorola Advisor Pager / Teletrim / LX2 Donanım Analizi ve Aktifken Incelemesi

Motorola Advisor Pager Patlaması Incident’ı Analizi — Part 1

Öncelikle ilk makalemde yaptığım olayın ilk duyum aşamasındaki teorik incelemesine aşağıdaki makalemden ulaşabilirsiniz.

Analiz Hazırlıkları

Motorola Advisor Pager modelini incelemek için hazırlıkları tamamladım ve analize başlıyorum. Diğer Motorola LX2 ve Motorola Teletrim’in de fiziksel değişikliğe maruz kalmadığına emin olduğum güvenli versiyonlarını temin ettim. Çünkü şuan tüm kitle Gold Apollo’ya ait tek bir parçalanan cihazdan kalma arka kapakta yer alan üretici bilgisi bulunan resimden yola çıkarak tüm cihazların aynı olduğu kanısında bulunuyor. Ben yine de adı geçen dört modelide incelemek istiyorum. Yakında onlarında detaylı incelemesini sağlıyor olacağım.

Bu diğer cihazlarda fiziksel inceleme sonrası, çalışır modda testlerde güvenliği sağlamak için şu önlemleri aldım;

Pil Alev Alma Önlemi

Source : https://www.popularmechanics.com/science/a25385/watch-batteries-explode/

Cihaz çalıştığında veya testler sırasında pil infilakına karşı endüstriyel olarak kullanılan Procell AA pil kullanmaya karar verdim. Bu pil yüksek sıcaklığa, sabit nominal ve cut-off gerilim çıkışına, düşük iç dirence, içindeki emniyet valfleride aşırı akım ve kısa devreye karşı koruma sağladığından pile dolaylı yapılacak yazılımsal müdahaleleri engellemiş olacak. Ayrıca pilleri doğrudan cihazlara takmayıp kablo ile pil kutuplarına uzatma yapıp pili aldığım mini bir kasada muhafaza edeceğim.

Olası Tetikleyici Sub-GHz Heartbeat Sinyali

Source: https://www.linkedin.com/pulse/improvised-explosive-device-ied-endro?utm_source=share&utm_medium=member_ios&utm_campaign=share_via

Elimizdeki cihaz Sub-GHz sinyallerinden 148–150Mhz yer alıp VHF Bandını kullanıyor. Bu nedenle elimdeki Yagi Anten ve modladığım çin üretimli Jammer ile 100 Mhz — 150 Mhz bandında sinyal karıştırıcı ters frekans yaratacağım. Sinyal karıştırıcının çalıştığından emin olmak için Flipper Zero ile MAYHEM modülüne taktığım CC1020 ile 27–300 arası bandı kontrol edip double-check yapmış olacağım.

Tahmin Etmediğim Donanımda Oluşacak Durumlar

Cihazda oluşacak ısı değişimleri için ise oldukça profesyonel termal görüntüleme cihazım ile inceleme sağlıyor olacağım. Olası en ufak ani ısınma ve değişimleri görebiliyor olacağım. (Örnek olarak MAYHEM modülünü çalışırken çektim.)

Source: https://www.tindie.com/products/eried/mayhem-v2-for-flipper-all-in-1-espcamsdnrfcc/

Tekrar belirtmem lazım ki ben bu cihazların modifiye edilip patlayıcı madde ve tetikleyici bir detonator düzeneği eklendiğini düşünüyorum. Özellikle bu yüzden dikkat edeceğim ve odağımı çeken noktalar;

• Patlayıcının cihazın hangi kısmına eklendiğini; Büyük ihtimal testler yapılıp en yüksek şarapnel etkisi yapacak anakart ve ekran arasına olabilir.
• Tetikleyen modülün nereye bağlanabileceği; Detanator’lar analog olsada onu tetikleyecek belirli bir çağrı veya saat anında patlamasını sağlayacak bir mikroişlemcili elektronik devre modülü eklendiğini düşünüyorum.
• Cihaza eklenti yapıldıysa bunun nasıl bir efor gerektirebileceği; Cihazın açılıp kapanması aşamasında ne kadar kompleks olduğunu inceleyeceğim. Binlerce cihaz etkilendiğinden eğer bir cihaz rahat açılıp parçalara ayrılıp kapatılıyor mu diye bakacağım.

Source: https://www.scribd.com/document/220414765/Mosfet-Short-1

Cihazın titreşim ve ses modüllerinin detonator olarak kullanılıp kullanılamayacağına bakıp, olası bir detanotor’unde bu modüllere ortak hatta bağlanıp tetikleniyor mu bunu inceleyeceğim.

Donanım Analizi ve Aktifken Incelemesi

Ilk olarak yukardaki tüm önlemleri uyguladım. Ardından cihazın arkasında yer alan bilgilerden frekansının 148.0375Mhz olduğunu gördüm. Flipper Zero’ya bağladığım CC102 ile o aralığa frekansları taraması için kaydırıp bir süre uğraştım. CC1020 biraz sorun çıkardı, çalışıp çalışmadığını kestirmek biraz gerdi açıkçası. Bu nedenle ne kadar bi sorun olmayacağından emin olsamda biraz gerildim.

Pil bölümü AAA Pil ile çalışan ve kapak kapatıldığında boşluk bırakmayan bi yapıya sahip. Ardından cihazın yan tırnaklı yapını kaldırmaya başladım. Bu sayede arka bölümü ayırabildim.

Cihaz ayrıldığında mavi parça ters dururken biraz korkutsada ders çevirdiğimde sadece ekranı sabitlemeye yarayan yumuşak parça olduğunu anladım. Bi arda burda aklımda sinyaller çaktı!

Çünkü cihazda aslında elektronik anlamda hiç bir işe yaramayan cihaza göre oldukça yer kaplayan bir parça vardı. Ve doğrudan bu yastığın titreşim motoruna teması çok yakındı!

Boyutlarını rahat anlayabilmeniz için 1 TL madeni para ile yan yana koyup ölçekledim. Ardından aklım tekrar titreşim motoruna takıldı. Titreşim motorunu yerinden çıkarıp inceledim. Namiki marka bir titreşim motoru olduğunu ve 1.5v ile çalıştığını anladım.

https://www.precisionmicrodrives.com/eccentric-rotating-mass-vibration-motors-erms

Aklımda direk bu motorun aslında plastik patlayıcıları ateşeleyen detonator’ler ile birbire bir aynı dizayna sahip olduğu geldi.

https://www.researchgate.net/figure/Schematic-of-a-hot-wire-detonator-with-typical-dimensions-and-materials-based-on-1_fig1_255995341

https://cat-uxo.com/explosive-hazards/ied/improvised-detonator-explosive

Bu konuyu ne kadar heyecanlı olsam da burada park ettim. Peki cihazın içerisine ne kadarlık bir plastik patlayıcı sığabilirdi? Cihazın içi gerçekten oldukça boş! özellikle radyo kartı ve anakart altında bile yer var!

Arka kapaktaki bombeli yapı ve cihazdaki basınç yastığı çıkarıldığında yarım avuç içi kadar bir patlayıcı hamuru yerleştirilebilir durumda. Yinede sürece devam edip diğer kısımlara da bakıyorum. Araştırdığımda üstteki radyo kartının 4051 model bir hassas radyo kartı olduğunu göπrüyorum. Alt anakarttan ayırıp detaylıca bir inceliyorum.

Aklım hala titreşim motoru üzerine heyecanla istemek istediğinden, ve heyacandan biraz elim titremiş ve resmi net çekememişim. Ama size üzerindekileri detaylı anlatayım;

• Sol taraftaki aslında bir anten, üzerinde bir bant var. Içerisinde ise bir ferrit çubuk bulnuyor. Yanında indüktör ve kapasitörler bulunuyor.
• Mavi parçaların araştırdığımda sinyalde yüksek frekans sağlamak için kullanılan üstü mavi bir kaplama ile kaplanmış IF kristali olduğunu anladım.
• Alttaki bu IF kristalinin 17.9 Mhz lik bir frekansı kullandığını öğrendim.
• Ilk kristalin ise farklı ve değişen indüktör slug’larını çevirip frekans ayarlaması yaptığını öğrendim.

Şimdi anakarta odaklanmaya başladım.

Ana kartta titreşim modulü emarelerini görmek beni yine heyecanladırdı. sol altta her alan chip’in üzerindeki 2 altın rengi temas slot’u dış arka kapattaki etkileşim yayları ile doğrudan temas edebiliyor. Bu sayede lehimleme olmadan çok rahat cihazın içi açılıp kapatılabiliyor!

Yani cihazlardan bir yerden alındığında hiçbir fabrika ortamına gerek olmayıp sadece titreşim motoru yanına bir tetikleyici eklenip, yada titreşim motoru çıkarılıp yerine detanator ve cihaz içine yaklaşık 5 gr plastik patlayıcı konularak ayakta bile kolayca tamamlanabilir!

Anakartın üzerinde ise bir arka aydınlatma invertör trafosu, seramik paketli IC’ler ve LCD kontrolcüsü yer alıyor.

Ve ön taraftada yine bir boşluk yer alıyor!

Cihazın resmen içinin yüzde 40'ı boşta! Sırf bu yüzden bile iyi bir araştırma sonrası hedeflenmiş olabilir.

Anakart incelememde son olarakta kartın üst kısmında yeşil kauçuk kapağın altında küçük bir yedek pil yer alıyor. Yani pil bittiğinde kısa süreli saatin ve ram’de saklanan mesajların saklanması sağlanıyor. Buna da müdahale edilerek pil yokken bile cihazı patlatabilirlerdi!

Simdi asıl olaya geri dönelim. Titreşim motoru…

Titreşim motoru Namiki Japan marka bir parça. 1.5v ile çalışıyor. Yani bazı detanator’leri tetikletebiliyor.

Bureda biraz gözü karalık yapıp az biraz kimya bilgimle 1.5v ile kendim bir detanatör hazırlayıp tetikletebilir miyim diye kontrol ediyorum. Ilk olarak ruhsatlı tabancama ait mermi istihkak’ımdan aldığım 9mm Luger mermisinin içini boşaltıp primarlt detonator’unu infilak ettirmeye çalışiyorum.

Primarly key iç hattan temas ile kablo ile 1.5v ile patlıyor … Bu aşamaları tehlike arz ettiğinden sansürlüyorum… Primaly key Türkiye’de ayrıca satılmadığından ve mermi içerisinden de çıkarılamayacağından bu detayları verdim. FYI

Cihazın parçalarını tekrar topladım. Sonra Flipper ile PagerSOG ile manuel frekans gönderme denemeleri yaptım. Ve aslında olayın peşpeşe gönderilen seri mesajlar sonrası tetiklendiğini anladım.

Simdi olay nasıl oldu ona bakalım;

Birinci Çıktı Analizim:

• Cihaz açıldı içerisine patlayıcı materyal (büyük ihtimalle darbeye, suya ve sert koşullara dayalı plastik patlayıcı eklendi) ardından cihazın ön tuş takımı yanındaki boşluğa ve kart arasındaki boşluklara şarapnel parçalar eklendi.
• Tetikleyici olarakta titreşim motorunun önünde bulunan salınım yapan parçadan yararlanılarak darbe elektrikli olmayan Pyrotechnic Shoch Tube detonator yerleştirildi.

• Peşine ilgili pager’ların bulunduğu yayına çok fazla istek yollandı. Bir nevi bruteforce yapıldı.
• Ardından motorun ön kısmında bulunan hareketli parça çok fazla salınım yaptırıldı. Ve Shock tube etkileşime girip cihazı patlattı…

Ikinci Çıktı Analizim

• Cihaz açıldı içerisine patlayıcı materyal (büyük ihtimalle darbeye, suya ve sert koşullara dayalı plastik patlayıcı eklendi) ardından cihazın ön tuş takımı yanındaki boşluğa ve kart arasındaki boşluklara şarapnel parçalar eklendi.
• Tetikleyici olarakta titreşim motorunu çıkarıldı yerine Elektrikli Shock tube yerleştirildi ve patlama sağlandı.

Kapanış

Öncelile destekleriniz ve teşvikleriniz, ayrıca dikkat etmemi rica eden mesajlarınız için çok teşekkür ederim. Umarım benim gibi elektronik ve siber güvenliğe meraklı insanlara yararlı olur. Tamamen akademik amaçlı ele almakta olup, hiç bir ülke, siyaset ve norm’ları doğrudan yada dolaylı ele almamaktayım.

Saygılarımla…