…Basri Aktepe’nin kızağa çekilmesi, Osman Nihat Şen’in görevden uzaklaştırılması ve Cemalettin Çelik’in TİB’in başına geçmesini takip eden günlerde, yani 2014 Ocak- Şubat aylarında MİT’in siber güvenlik uzmanları MİT, Emniyet ve Jandarma’dan TİB’e
giden verilerin yazılımında bir casus program saptadı.
Toplam 14 bin satır civarındaki yazılıma gizlice yerleştirilmiş bu program, bütün veri akışını ABD’de bir adrese e-posta olarak kopyalıyordu.
Hükümetin TİB’i söndürmeye karar vermesiyle MİT’in ByLock’a Litvanya operasyonuna başlaması hemen hemen aynı süreçte oldu.
MİT’in siber güvenlik ekibi Litvanya’daki sunucuya girerek verileri Yenimahalle’deki karargaha aktarmaya, ByLock’un içini boşaltmaya başladılar.
Boşalttıkça onlar da şaşırdı: ABD’de kurulan, Litvanya’da işletilen ByLock’taki 18 milyon küsur yazışma ve 3,5 milyon e-postanın yüzde 99’u Türkçe idi.
Aynı şekilde IP’lerin yüzde 98’i Türkiye kaynaklıydı. Görünüşte şirket 2014 Kasım ayında Orta Doğu’dan gelen hesapları kapatmıştı ama bu Türkiye’den girişleri VPN ve Proxy gibi kimlik gizleme yollarına sevk etmek içindi.
Zaten ByLock’taki kullanıcı adlarının tamamına yakını da Türkçe isim ve ünvanlardan oluşuyordu.