Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Casus Aktörler, Android ve iOS Cihazlarında Casusluk Yapmak İçin Son Derece Modüler Casus Yazılım Kullandı
Jayant Chakravarti (@JayJay_Tech) •
18 Nisan 2024
Güvenlik araştırmacıları, Çince konuşan tehdit aktörlerinin Hindistan ve Güneydoğu Asya’daki bireyleri hedef almak ve cihazlarından son derece hassas verileri sızdırmak için oldukça modüler bir casusluk kötü amaçlı yazılım kullandığını gözlemledi.
Ayrıca bakınız: APJ’de Siber Güvenliğin Geleceği
Kanadalı siber güvenlik şirketi BlackBerry, tehdit aktörlerinin hedeflenen mobil cihaz kullanıcılarını kötü amaçlı bağlantılara tıklamaya teşvik etmek için yem olarak Hong Kong ile ilgili hikayeler taşıyan ele geçirilmiş haber web sitelerini kullandığını söyledi.
Kötü amaçlı bir web sayfası tıklandığında, cihaz bilgilerini toplayan ve kullanıcı tarafından oluşturulan verileri yakalayıp kendi komuta ve kontrol sunucusuna sızdıran LightSpy gözetleme ve veri hırsızı kötü amaçlı yazılımlar da dahil olmak üzere ek implantlar indiren bir birinci durum yükleyiciyi indirir.
BlackBerry’nin analizi, siber güvenlik şirketi ThreatFabric’in Ekim ayında Barium, Earth Baku ve Winnti olarak da takip edilen Çinli casusluk grubu Wicked Panda’nın, hedeflenen mobil cihazlara geniş erişim sağlamak için WeChat’in kötü amaçlı bir sürümünü yem olarak nasıl kullandığını ortaya çıkarmasını takip ediyor.
Siber casusluk grubu, kurbanın bir bina içindeki kesin konumu, ödeme verileri, çağrı kayıtları ve sohbet arşivleri gibi bir dizi hassas bilgiyi çalmak için LightSpy’ı kurban cihazlarına yerleştirdi (bkz: Çinli APT Aktörleri WeChat Kullanıcılarını Hedefliyor).
Güvenlik araştırmacıları daha önce LightSpy’ı operatörlerinin etkinliğini artırmak için ek modüller eklemesine olanak tanıyan oldukça modüler bir kötü amaçlı yazılım çerçevesi olarak tanımlamıştı. Wicked Panda, LightSpy’ın yanı sıra Android mobil cihazlarını hedeflemek için WyrmSpy ve DragonEgg gibi diğer modüler kötü amaçlı yazılım çerçevelerini de kullandı.
Siber casusluk grubu, LightSpy’ı 2023’te iOS mobil cihazlarını hedef alacak şekilde özelleştirdi ve ona gözetleme ve veri sızdırma yeteneklerine sahip düzinelerce eklenti ekledi, böylece kurban tabanını ve hedeflenen bölgelerde mobil cihazlardan topladıkları veri miktarını artırdı.
BlackBerry tehdit araştırmacısı Dmitry Melikov, bir blog yazısında Hindistan ve Güneydoğu Asya’daki mobil cihaz kullanıcılarına yönelik saldırılarda kullanılan LightSpy paketinin, daha önce izlenen varyantlardan daha fazla yetenek içeren, “F_Warehouse” olarak bilinen çok yönlü bir çerçeveye sahip olduğunu söyledi.
Çerçeve, cihazın mikrofonu aracılığıyla ses yakalayabilir, yakındaki Wi-Fi ağları hakkında bilgi toplayabilir, tarayıcı verilerini toplayabilir, kullanıcının anahtar zincirinde depolanan hassas verileri alabilir, güvenliği ihlal edilmiş sisteme bağlı cihazları tanımlayıp listeleyebilir, cihazın kamerasını kullanarak fotoğraf çekebilir ve cihazla ilgili ayrıntıları toplayabilir. yüklü uygulamalar.
Kötü amaçlı yazılım çerçevesi ayrıca hem Safari hem de Google Chrome tarayıcılarından ayrıntılı tarama geçmişini de toplar. Yakalanan bilgilerin listesi, ziyaret edilen web sitelerinin belirli web adreslerini, web sitesi ziyaretlerinin zaman damgalarını ve geçmiş girişleri için benzersiz tanımlayıcıları içerir. Melikov, “Bu ayrıntılı ayrıntı düzeyi, saldırganın kurbanın çevrimiçi etkinliklerini ve ilgi alanlarını derinlemesine anlamasına olanak tanıyor” dedi.
“Güney Asya’daki bireylerin hedef alınması, saldırganların Çin kökenli olduğundan şüphelenilmesiyle birleştiğinde, bu kampanyanın potansiyel nedenleri ve jeopolitik sonuçları hakkında endişeleri artırıyor” diye yazdı. “Genellikle bireylerin çok küçük bir yüzdesine (çoğunlukla gazeteciler, aktivistler, politikacılar ve diplomatlar) karşı uygulansa da hiper odaklı casus yazılım saldırıları devam eden ve küresel bir tehdittir.”
BlackBerry, Hintli ve Güneydoğu Asyalı kullanıcıları hedef alan LightSpy kötü amaçlı yazılım faaliyeti tespitlerinin, Apple’ın Hindistan’da, birkaç milletvekilinin ve gazetecinin iOS cihazlarını hedef alan siber casusluk aktörleri hakkındaki uyarısıyla örtüştüğünü söyledi (bkz: iPhone Hacking’e ilişkin Apple Uyarısı, Hindistan’daki Casus Yazılım Korkularını Artırıyor).
Apple Ekim ayında kullanıcıları uyarmıştı: “Bu saldırganlar muhtemelen kim olduğunuz veya ne yaptığınız nedeniyle sizi hedef alıyor.” “Cihazınızın güvenliği devlet destekli bir saldırgan tarafından ele geçirilirse, hassas verilerinize, iletişimlerinize ve hatta kamera ve mikrofonunuza uzaktan erişebilirler. Bunun yanlış bir alarm olması mümkün olsa da lütfen bu uyarıyı ciddiye alın.”
Apple, eski bir dışişleri bakanına, çeşitli eyaletlerin eski başbakanlarına, üst düzey milletvekillerine, siyasi parti sözcülerine, parti liderlerine, üst düzey gazetecilere ve popüler sivil toplum aktivistlerine tehdit bildirimleri gönderdi ancak saldırıları tek bir aktöre atfetmeyi reddetti.
BlackBerry’ye göre, LightSpy’ın modüler özellikleri ve Çinli casusluk gruplarının artan çeşitlilikte araç ve yetenekleri, dijital gözetleme operasyonları tehdidinin gelecekte daha ciddi hale gelebileceğini gösteriyor.
Melikov, “LightSpy’ın yetenekleri veri sızdırma ve gözetlemenin ötesine geçiyor. Kötü amaçlı yazılım aynı zamanda saldırganın kötü amaçlı sunucusundan alınan kabuk komutlarını yürütmek için tasarlanmış bir eklentiyi indirip çalıştırabilir” diye uyardı. “Bu işlevsellik, tehdit aktörüne kurbanın cihazı üzerinde tam kontrol potansiyeli vererek, casus yazılımın temel işlevlerinin ötesinde çok sayıda eylem gerçekleştirmesine olanak tanıyor.”