Bu casus yazılım kampanyasının birincil hedefi İtalya, Malezya ve Kazakistan’daki şüphelenmeyen kullanıcılardı.
Google’ın Tehdit Analizi Grubu (TAG), iPhone ve Android akıllı telefon kullanıcılarına karşı gözetleme yazılımı dağıtmak için sıfırıncı gün istismarlarını kullanan iki yüksek hedefli mobil casus yazılım kampanyası keşfetti.
Google TAG, mobil cihazlarda Android, iOS ve Chrome kullanıcılarını hedefleyen “belirgin, sınırlı ve yüksek oranda hedeflenmiş” iki kampanya keşfetti. Kampanyalar, satıcıların güvenlik açığı düzeltmeleri yayınladığı zaman ile donanım üreticilerinin son kullanıcı cihazlarını bu yamalarla güncelleyerek yama uygulanmamış platformlar için açıklardan yararlandığı zaman arasındaki süreden yararlanarak sıfır gün ve n gün istismarları kullandı.
Bu keşifler, kötü niyetli aktörlerin bilinen güvenlik açıklarından yararlanmalarını önlemek için satıcılar ve son kullanıcılar tarafından zamanında yazılım düzeltme eki uygulamalarının önemini vurgulamaktadır. Kampanyalar ayrıca, gözetleme yazılımı satıcılarının, potansiyel olarak tehlikeli bilgisayar korsanlığı araçlarının çoğalmasını sağlamak için açıkları ve teknikleri paylaştığını öne sürüyor.
İlk kampanya (CVE-2022-42856; CVE-2022-4135), sırasıyla iOS ve Android’in 15.1’den önceki sürümlerini ve Chrome’un 106’dan önceki sürümlerini çalıştıran ARM GPU’yu hedefliyordu. İlk kampanyadaki istismarın yükü, cihazın GPS konumunu geri pingleyen ve saldırganın etkilenen telefona bilgi çalmak için kullanılabilecek bir .IPA dosyası yüklemesine izin veren basit bir düzenleyici içeriyordu.
Kampanya, hem Android hem de iOS cihazlarını hedefledi ve ilk erişim denemeleri, aşağıdaki üç ülkede bulunan kullanıcılara SMS yoluyla gönderilen Bit.ly URL’si daha kısa bağlantıları aracılığıyla iletildi:
- İtalya
- Malezya
- Kazakistan.
Hem sıfır gün hem de n gün kullanan eksiksiz bir açıklardan yararlanma zincirini içeren ikinci kampanya (CVE-2022-4262; CVE-2023-0266), Samsung İnternet tarayıcısının en son sürümünü hedef aldı.
İkinci kampanyadaki istismarın yükü, çeşitli sohbet ve tarayıcı uygulamalarından verilerin şifresini çözmek ve yakalamak için kitaplıklar içeren, C++ tabanlı, “tam özellikli bir Android casus yazılım paketi” idi.
Google araştırmacıları, olaya karışan kişinin ticari bir casus yazılım satıcısı olan Variston’ın müşterisi, ortağı veya başka bir şekilde yakın üyesi olabileceğinden şüpheleniyor.
Geçen yıl Hackread.com tarafından bildirildiği üzere Variston’ın, Google TAG’ın kendisini özel bir siber güvenlik çözümleri sağlayıcısı gibi tanıtırken Chrome, Firefox ve Microsoft Defender’daki n günlük güvenlik açıklarından yararlandığı için ifşa ettiği Barselona merkezli bir şirket olduğunu belirtmekte fayda var.
TAG, şu anda 30’dan fazla gözlem altında olan ticari casus yazılım satıcılarını aktif olarak izler ve devlet destekli aktörlere satılan açıkları veya gözetleme yeteneklerini belirler. Bu tehlikeli bilgisayar korsanlığı araçları, hükümetleri şirket içinde geliştiremeyecekleri gözetim yetenekleriyle donatıyor.
Casus yazılımlar da dahil olmak üzere bu araçlar, genellikle muhalifleri, gazetecileri, insan hakları çalışanlarını ve muhalefet partisi politikacılarını hedef alarak hayati tehlike oluşturan riskler oluşturmak için kullanılır.
Gözetleme teknolojisinin kullanımı çoğu ulusal veya uluslararası yasa kapsamında genellikle yasal olsa da, hükümetler bu yasaları ve teknolojileri kendi gündemlerine uymayan bireyleri hedef almak için kötüye kullanmıştır.
Hükümetlerin NSO Group’un Pegasus mobil casus yazılımını iPhone kullanıcılarını hedef almak için kötüye kullandığının uluslararası inceleme altına alınmasından bu yana, düzenleyiciler ve satıcı firmalar benzer şekilde ticari casus yazılımların üretimi ve kullanımına karşı sert tedbirler alıyorlar.
28 Mart’ta Biden yönetimi, federal hükümet tarafından ticari gözetim araçlarının kullanımını kısıtlayan bir yürütme emri çıkardı, ancak Google’ın bulguları, bu çabaların ticari casus yazılım sahnesini engellemediğini gösteriyor.
Ticari casus yazılımların üretimini ve kullanımını düzenleyen düzenlemelerin, temel haklarını ihlal ederek bireyleri hedef almak için kullanılmamasını sağlamak için güçlendirilmesi zorunludur.
Keşifler, açıkları yaratanların kötü amaçlar için kullanabilecekleri güvenlik açıklarını yakından takip ettiklerini ve muhtemelen bunları hedeflenen cihazları tehlikeye atmak için kullanma potansiyelini en üst düzeye çıkarmak için gizli anlaşmalar yaptıklarını gösteriyor.
ALAKALI HABERLER
- Google, kiralık hack gruplarıyla bağlantılı sitelere baskı yapıyor
- İsrailli Casus Yazılım Satıcısı Gazetecileri Hedef Almak İçin Chrome 0day Kullanıyor
- Saldırganların Akıllı Telefonlara Hermit Casus Yazılım Yüklemesine Yardımcı Olan ISP’ler
- Kötü amaçlı yazılım satıcısı, başka bir kötü amaçlı Android kötü amaçlı yazılımıyla geri döndü
- Avrupa Casus Yazılım Satıcısı, Android ve iOS Cihaz İstismarları Sunuyor