Devam Eden iOS Casusluk Kampanyasında 2 Apple Sıfır Günü Daha Kullanıldı



Apple, gelişmiş kalıcı tehdit (APT) aktörünün “Operation Triangulation” adlı devam eden bir iOS casusluk kampanyasında kötü amaçlı yazılım dağıtmak için kullandığı yazılımındaki iki yeni sıfır gün güvenlik açığı için acil durum yamaları yayınladı.

Bu arada Çarşamba günü Kaspersky, kampanyada kullanılan ve gelecekte dağıtılabilecek devre dışı bırakılmış özellikler gibi bir dizi tuhaflık içerdiğini işaretlediği TriangleDB casus yazılım implantı hakkında ek ayrıntılar sağlayan yeni bir rapor yayınladı.

Şirkete göre, analizi, kötü amaçlı yazılımın şimdilik dosya oluşturma, değiştirme, kaldırma ve çalma, işlemleri listeleme ve sonlandırma, kurbanın anahtar zincirinden kimlik bilgilerini toplama ve konumlarını izleme gibi çeşitli amaçlara hizmet eden 24 işlevsel komutu desteklediğini gösterdi.

Kaspersky’de sıfır gün hatalarını keşfeden güvenlik araştırmacılarından biri olan Georgy Kucherin, “Özellikle önemli bulduğumuz özellikler, virüs bulaşmış cihazdaki herhangi bir dosyayı okuma, kurbanın anahtar zincirinden şifreleri çıkarma ve cihazın coğrafi konumunu izleme yetenekleridir” diyor. Apple’ın bu hafta açıkladığı.

Sıfır Gün Üçlüsü

Yeni ele alınan güvenlik açıklarından biri (CVE-2023-32434), birden çok iOS sürümünü etkiler ve saldırganlara iPhone’lar ve iPad’lerde çekirdek düzeyinde ayrıcalıklarla rasgele kod yürütme yolu sağlar. Diğer güvenlik açığı (CVE-2023-32439), Apple’ın WebKit tarayıcısında bulunuyor ve kötü amaçlarla oluşturulmuş web içeriği aracılığıyla rastgele kod yürütülmesine olanak tanıyor. 21 Haziran 2023’te Apple, her iki güvenlik açığını da gideren güncellemeler yayınladı.

İki hata, Kaspersky araştırmacılarının şu ana kadar Üçgenleme Operasyonunu araştırırken keşfettikleri üç Apple sıfır gün setinin parçası. Soruşturma, yaklaşık yedi ay önce, güvenlik firmasının kurumsal Wi-Fi ağında şüpheli bir şekilde davranan birkaç düzine iOS cihazı tespit etmesiyle başladı.

Şirket, Haziran ayı başlarında kötü amaçlı faaliyete ilişkin ilk analizi hakkında bir rapor yayınladı. O sırada Kaspersky, saldırganların, hedeflenen iOS kullanıcılarına ait iOS cihazlarına TriangleDB casus yazılım implantı sağlamak için muhtemelen Apple yazılımındaki birden çok güvenlik açığından yararlandıklarını açıklamıştı. Şirketteki araştırmacılar, kusurlardan ilkini, bir uygulamanın çekirdek düzeyinde rasgele kod yürütmesine izin veren sınırların dışında bir sorun olan CVE-2022-46690 olarak belirledi. Kaspersky, kötü amaçlı yazılımın kendisinin kök ayrıcalıklarıyla çalıştığını, etkilenen cihazlarda rasgele kod yürütebildiğini ve sistem ve kullanıcı bilgilerini toplamak için bir dizi komut uygulayabildiğini açıkladı.

Kucherin, virüslü cihazdaki dosyaları okumanın, saldırganların fotoğraflar, videolar, e-postalar gibi hassas bilgilere ve ayrıca mesajlaşma uygulamalarından konuşmaları içeren veritabanlarına erişmesine olanak sağladığını söylüyor. TriangleDB’lerin anahtarlık dökümü özellikleri, saldırganların kurbanın parolalarını toplamasına ve ardından bunları kurbanın sahip olduğu çeşitli hesaplara erişmek için kullanmasına olanak tanır.

TriangeDB Meraklı Casus Yazılım Davranışı Gösteriyor

Kucherin, ilginç bir şekilde, implantın işletim sisteminden (virüslü cihazlarda) birden fazla ayrıcalık talep ettiğini ve bilgileri kullanmanın herhangi bir açık yolu olmadığını söylüyor. Kötü amaçlı yazılımın talep ettiği ancak şu anda kullanmadığı ayrıcalık örnekleri arasında mikrofona, kameraya ve adres defterine erişim yer alır.

Gelecekte bir zamanda, “Bu özellikler, implant tarafından yüklenebilen yardımcı modüllerde uygulanabilir,” diye belirtiyor.

Kaspersky’nin TriangleDB’yi analiz ederken yaptığı bir diğer önemli keşif, kötü amaçlı yazılımın arkasındaki saldırganların hedeflenen macOS kullanıcılarını da gözetlediği gerçeğidir. Kucherin, “Belki de en ilginç bulgu, implantta bulduğumuz ‘populateWithFieldsMacOSOnly’ yöntemidir” diyor. “Varlığı, benzer implantların yalnızca iOS cihazlarını değil, aynı zamanda Mac bilgisayarları da hedeflemek için kullanılabileceği anlamına geliyor.”

Kaspersky, hedefli bir saldırının kurbanı olduğunu değerlendirdi, ancak muhtemelen tek saldırı bu değildi. Rusya’nın Federal Güvenlik Servisi (FSB) istihbarat teşkilatı, herhangi bir kanıt sunmadan, kötü amaçlı yazılımın ve casusluk operasyonunun arkasında muhtemelen Apple ile işbirliği içinde olan ABD Ulusal Güvenlik Teşkilatı’nın (NSA) olduğunu iddia etti. Teşkilat, ikiliyi, Rus diplomatlara ve Rusya bağlantılı kişilere ait binlerce iOS cihazına ABD hükümetiyle sözde çıkarı olan casus yazılım yüklemekle suçladı. Rusya dışişleri bakanlığı, ABD’nin Rusya ve Çin’e yönelik suçlamalarını anımsatan bir tonda, iOS casus yazılım kampanyasını, izinleri veya bilgileri olmadan “İnternet kullanıcılarının büyük ölçekli verilerini” toplamaya yönelik onlarca yıllık çabanın bir parçası olarak nitelendirdi.

Hem NSA hem de Apple bu iddiaları reddetti.

Kaspersky, kuruluşların iOS cihazlarına casus yazılım yerleştirme belirtileri aramak için kullanabilecekleri ‘triangle_check’ adlı bir yardımcı program yayınladı.



Source link