İsrailli casus yazılım satıcısı Candiru, ‘DevilsTongue’ casus yazılımıyla gazetecileri ve Orta Doğu’daki diğer yüksek ilgili kişileri gözetlemek için Google Chrome’daki sıfır gün güvenlik açığını kullanıyordu.
CVE-2022-2294 olarak izlenen kusur, WebRTC’de yüksek önemde yığın tabanlı bir arabellek taşması olup, başarıyla kullanılırsa hedef cihazda kod yürütülmesine neden olabilir.
Google, 4 Temmuz’da sıfır günü yamaladığında, kusurun aktif olarak istismar edildiğini açıkladı ancak daha fazla ayrıntı vermedi.
Bugün erken saatlerde yayınlanan bir raporda, güvenlik açığını keşfeden ve Google’a bildiren Avast’ın tehdit araştırmacıları, müşterilerine yönelik casus yazılım saldırılarını araştırdıktan sonra bunu ortaya çıkardıklarını ortaya koyuyor.
Birden fazla kampanya ve dağıtım yöntemi
Avast’a göre Candiru, Mart 2022’de Lübnan, Türkiye, Yemen ve Filistin’deki kullanıcıları hedef alarak CVE-2022-2294’ten yararlanmaya başladı.
Casus yazılım operatörleri, hedeflerinin ziyaret edeceği bir web sitesini tehlikeye atarak ve tarayıcıdaki bilinmeyen bir güvenlik açığından yararlanarak onlara casus yazılım bulaştırmak için yaygın saldırı taktikleri kullandılar.
Bu saldırı özellikle kötüdür çünkü kurbanla bir bağlantıya tıklamak veya bir şey indirmek gibi herhangi bir etkileşim gerektirmez. Bunun yerine, siteyi Google Chrome veya başka bir Chromium tabanlı tarayıcıda açmaları yeterlidir.
Bu web siteleri, bir şekilde güvenliği ihlal edilmiş veya tehdit aktörleri tarafından oluşturulmuş ve hedef odaklı kimlik avı veya diğer yöntemlerle tanıtılan meşru web siteleri olabilir.
Bir durumda, saldırganlar Lübnan’daki bir haber ajansı tarafından kullanılan bir web sitesinin güvenliğini ihlal etti ve XXS (siteler arası komut dosyası çalıştırma) saldırılarını etkinleştiren ve geçerli hedefleri istismar sunucusuna yeniden yönlendiren JavaScript snippet’leri yerleştirdi.
.png)
Kurbanlar sunucuya ulaştığında, yaklaşık 50 veri noktası kullanılarak çok ayrıntılı bir şekilde profilleri çıkarıldı. Hedef geçerli sayılırsa, sıfırıncı gün istismarının gerçekleşmesi için şifreli veri alışverişi kuruldu.
Avast’ın raporu, “Toplanan bilgiler kurbanın dilini, saat dilimini, ekran bilgilerini, cihaz türünü, tarayıcı eklentilerini, yönlendireni, cihaz belleğini, çerez işlevselliğini ve daha fazlasını içerir” diye açıklıyor.
Lübnan örneğinde, sıfır gün, aktörlerin bir oluşturucu işlemi içinde kabuk kodu yürütmesini gerçekleştirmesini sağladı ve Avast’ın analiz için kurtaramadığı bir sanal alan kaçış kusuruyla daha da zincirlendi.
Kusur WebRTC’de bulunduğundan, Apple’ın Safari tarayıcısını da etkiledi. Ancak, Avast tarafından görülen istismar yalnızca Windows’ta çalıştı.
İlk enfeksiyondan sonra DevilsTongue, ayrıcalıklarını yükseltmek ve güvenliği ihlal edilmiş aygıtın belleğine okuma ve yazma erişimi elde etmek için bir BYOVD (“kendi sürücünüzü getirin”) adımı kullandı.
.png)
İlginç bir şekilde Avast, Candiru tarafından kullanılan BYOVD’nin de bir sıfır gün olduğunu keşfetti ve satıcı bir güvenlik güncellemesi gönderse bile, savunmasız sürüm onunla birlikte geldiği için casus yazılıma karşı yardımcı olmayacak.
Saldırganların hangi verileri hedeflediği net olmasa da Avast, tehdit aktörlerinin bunu hedeflenen gazetecinin araştırdığı haber hikayeleri hakkında daha fazla bilgi edinmek için kullandığına inanıyor.
“Saldırganların neyin peşinde olduğunu kesin olarak söyleyemeyiz, ancak çoğu zaman saldırganların gazetecilerin peşinden gitmelerinin nedeni, gazetecileri ve üzerinde çalıştıkları hikayeleri doğrudan gözetlemek veya kaynaklarına ulaşmak ve tehlikeli bilgiler toplamaktır. ve basınla paylaştıkları hassas veriler.” – Dur.
Devam eden casus yazılım tehdidi
Ticari casus yazılım satıcıları, müşterilerinin ilgisini çeken kişilere saldırmak için sıfırıncı gün açıkları geliştirmeleri veya satın almalarıyla tanınırlar.
Candiru, Microsoft ve Citizen Lab tarafından en son ifşa edildiğinde, firma tüm DevilsTongue işlemlerini geri çekti ve Avast’ın şimdi ortaya koyduğu gibi yeni sıfır günleri uygulamak için gölgede çalıştı.
Ne yazık ki, bu aynı zamanda aynı şeyin tekrar olacağı anlamına gelir, bu nedenle güvenlik güncellemelerini hemen uygulasanız bile sizi ticari casus yazılımlara karşı bağışık hale getirmez.
Bu sorunu çözmek için Apple, hassas veri sızıntılarını önlemek veya bir casus yazılım bulaşmasının etkilerini en aza indirmek için cihazın özelliklerini ve işlevselliğini sınırlayan ‘Kilitleme Modu’ adlı yeni bir iOS 16 özelliği sunmayı planlıyor.