Microsoft ve Citizen Lab, İsrail merkezli bir şirket olan QuaDream tarafından yapılan ve ENDOFDAYS adlı sıfır tıklamalı bir istismar kullanarak yüksek riskli kişilerin iPhone’larını ele geçirmek için kullanılan ticari casus yazılımları keşfetti.
Saldırganlar, Citizen Lab’ın eski tarihli ve “görünmez iCloud takvim davetleri” olarak tanımladığı şeyi kullanarak, Ocak 2021 ile Kasım 2021 arasında iOS 1.4’ten 14.4.2’ye kadar olan iPhone’ları etkileyen sıfır gün güvenlik açığını hedef aldı.
İOS cihazlarda geçmişe dönük zaman damgalarına sahip iCloud takvim davetleri alındığında, bunlar herhangi bir bildirim veya istem olmaksızın otomatik olarak kullanıcının takvimine eklenerek ENDOFDAYS istismarının kullanıcı etkileşimi olmadan çalışmasına ve saldırıların hedefler tarafından tespit edilememesine olanak tanır.
Citizen Lab araştırmacıları, ele geçirilen cihazların “QuaDream’in Kuzey Amerika, Orta Asya, Güneydoğu Asya, Avrupa ve Orta Doğu’daki casus yazılım ve istismarlarının en az beş sivil toplum kurbanına” ait olduğunu söyledi.
“Kurbanlar arasında gazeteciler, siyasi muhalefet figürleri ve bir STK çalışanı var. Şu anda kurbanların isimlerini vermiyoruz.”
Bu kampanyada dağıtılan gözetleme kötü amaçlı yazılımı (Microsoft tarafından KingsPawn olarak adlandırılır) ayrıca kendi kendini silmek ve tespit edilmekten kaçınmak için kurbanların iPhone’larındaki izleri temizlemek için tasarlandı.
Citizen Lab, “Casus yazılımın, casus yazılımın geride bıraktığı çeşitli izleri temizleyen bir kendi kendini yok etme özelliği de içerdiğini bulduk” dedi.
“Kendi kendini yok etme özelliğine ilişkin analizimiz, kurban cihazlarda keşfettiğimiz casus yazılım tarafından kullanılan bir işlem adını ortaya çıkardı.”
Casus yazılım, Citizen Lab’ın analizine dayalı olarak, çevresel ses ve çağrıları kaydetmekten tehdit aktörlerinin kurbanların telefonlarını aramasına izin vermeye kadar çok çeşitli “özellikler” ile birlikte gelir.
QuaDream’in casus yazılımını analiz ederken keşfedilen yeteneklerin tam listesi aşağıdakileri içerir:
- Telefon görüşmelerinden ses kaydetme
- Mikrofondan ses kaydetme
- Cihazın ön veya arka kamerasıyla fotoğraf çekme
- Cihazın anahtar zincirindeki öğeleri dışarı sızdırma ve çıkarma
- Telefonun Anisette çerçevesini ele geçirmek ve keyfi tarihler için iCloud zamana dayalı tek seferlik parola (TOTP) oturum açma kodları oluşturmak için gettimeofday sistem çağrısını bağlamak. Bunun, kullanıcının verilerinin doğrudan iCloud’dan kalıcı olarak sızmasını kolaylaştırmak amacıyla, gelecek tarihler için geçerli olan iki faktörlü kimlik doğrulama kodları oluşturmak için kullanıldığından şüpheleniyoruz.
- Telefonda SQL veritabanlarında sorgu çalıştırma
- Sıfır tıklamalı istismarların geride bırakabileceği temizleme kalıntıları
- Cihazın konumunu izleme
- Belirtilen özelliklerle eşleşen dosyaları aramak da dahil olmak üzere çeşitli dosya sistemi işlemlerini gerçekleştirme
Citizen Lab, Bulgaristan, Çek Cumhuriyeti, Macaristan, Gana, İsrail, Meksika, Romanya, Singapur, Birleşik Arap Emirlikleri (BAE) ve Özbekistan dahil olmak üzere birçok ülkede QuaDream sunucuları buldu.
Citizeb Labs, “Nihayetinde, bu rapor, paralı asker casus yazılımı endüstrisinin herhangi bir şirketten daha büyük olduğunu ve hem araştırmacılar hem de potansiyel hedefler için sürekli ihtiyatın gerekli olduğunu hatırlatıyor.”
“Ticari casus yazılımların kontrolden çıkmış çoğalması sistemik hükümet düzenlemeleriyle başarılı bir şekilde azaltılıncaya kadar, hem tanınabilir adlara sahip şirketler hem de hala gölgede kalan şirketler tarafından körüklenen kötüye kullanım vakalarının sayısı muhtemelen artmaya devam edecek. “
Bir yıl önce Citizen Lab, Katalan politikacıların, gazetecilerin ve aktivistlerin iPhone’larına NSO Group casus yazılımını yüklemek için kullanılan sıfır tıklamalı bir iMessage istismarının (HOMAGE olarak adlandırılır) ayrıntılarını da ortaya çıkardı.
NSO Group, Cytrox, Hacking Team ve FinFisher gibi gözetleme teknolojisi sağlayıcıları tarafından sağlanan ticari casus yazılımlar, sıfır gün açıklarına karşı savunmasız olan Android ve iOS cihazlarına defalarca yerleştirildi (çoğu durumda hedefler tarafından algılanamayan sıfır tıklama açıkları aracılığıyla).