Google’ın Tehdit Analiz Grubu (TAG), geçen yıl ele alınan bir dizi sıfır gün güvenlik açığının ticari casus yazılım satıcıları tarafından Android ve iOS cihazlarını hedeflemek için kullanıldığını ortaya çıkardı.
İki farklı kampanya, bir düzeltmenin yayınlanması ile hedeflenen cihazlara fiilen dağıtılması arasındaki yama boşluğundan yararlanılarak hem sınırlı hem de yüksek oranda hedeflendi.
TAG’den Clement Lecigne yeni bir raporda, “Bu satıcılar, tehlikeli bilgisayar korsanlığı araçlarının çoğalmasını sağlıyor, bu yetenekleri şirket içinde geliştiremeyecek hükümetleri silahlandırıyor” dedi.
“Gözetleme teknolojilerinin kullanımı ulusal veya uluslararası yasalar kapsamında yasal olsa da, hükümetler tarafından genellikle muhalifleri, gazetecileri, insan hakları çalışanlarını ve muhalefet partisi politikacılarını hedef almak için kullanıldığı tespit edildi.”
İki operasyondan ilki Kasım 2022’de gerçekleşti ve İtalya, Malezya ve Kazakistan’da bulunan kullanıcılara SMS mesajları üzerinden kısaltılmış bağlantılar göndermeyi içeriyordu.
Tıklandıktan sonra URL’ler, alıcıları yasal haberlere veya gönderi izleme web sitelerine yeniden yönlendirilmeden önce Android veya iOS için açıklardan yararlanan web sayfalarına yönlendirdi.
iOS açıklardan yararlanma zinciri, duyarlı cihaza bir .IPA dosyası yüklemek için CVE-2022-42856 (o zaman sıfır gün), CVE-2021-30900 ve bir işaretçi kimlik doğrulama kodu (PAC) atlaması dahil olmak üzere birden çok hatadan yararlandı.
Android istismar zinciri, belirtilmemiş bir yük sağlamak için üç istismardan oluşuyordu: CVE-2022-3723, CVE-2022-4135 (kötüye kullanım sırasında sıfır gün) ve CVE-2022-38181.
Mali GPU Çekirdek Sürücüsünü etkileyen bir ayrıcalık yükseltme hatası olan CVE-2022-38181, Ağustos 2022’de Arm tarafından yamalanırken, yamanın yayınlanmasından önce rakibin kusur için bir istismara sahip olup olmadığı bilinmiyor.
Bir diğer dikkat edilmesi gereken nokta ise, linke tıklayıp Samsung İnternet Tarayıcısında açan Android kullanıcılarının, Intent Redirection isimli bir yöntemle Chrome’a yönlendirilmiş olması.
Aralık 2022’de gözlemlenen ikinci kampanya, açıklardan yararlanmaların BAE’de bulunan cihazlara SMS yoluyla tek seferlik bağlantılar olarak iletildiği Samsung İnternet Tarayıcısının en son sürümünü hedefleyen birkaç sıfır gün ve n günden oluşuyordu.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
İspanyol casus yazılım şirketi Variston IT tarafından kullanılanlara benzer web sayfası, sonunda sohbet ve tarayıcı uygulamalarından veri toplayabilen C++ tabanlı kötü amaçlı bir araç seti yerleştirdi.
Yararlanılan kusurlar CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 ve CVE-2023-26083’ü oluşturur. İstismar zincirinin Variston IT’nin bir müşterisi veya ortağı tarafından kullanıldığına inanılıyor.
Bununla birlikte, iki kampanyanın ölçeği ve hedeflerin doğası şu anda bilinmiyor.
Açıklamalar, ABD hükümetinin federal kurumların ulusal güvenlik riski oluşturan ticari casus yazılımları kullanmasını kısıtlayan bir yürütme emrini duyurmasından sadece birkaç gün sonra geldi.
Lecigne, “Bu kampanyalar, ticari casus yazılım endüstrisinin gelişmeye devam ettiğini hatırlatıyor” dedi. “Daha küçük gözetleme satıcılarının bile sıfır-günlere erişimi var ve sıfır-gün güvenlik açıklarını stoklayan ve gizlice kullanan satıcılar, İnternet için ciddi bir risk oluşturuyor.”
“Bu kampanyalar ayrıca, tehlikeli bilgisayar korsanlığı araçlarının çoğalmasına olanak tanıyan güvenlik açıkları ve tekniklerin gözetim sağlayıcıları arasında paylaşıldığını gösterebilir.”