Microsoft, özel şahısları izlemek ve gözetlemek için uluslararası hükümetlere mobil casus yazılım ve diğer siber casusluk araçlarını ve hizmetlerini satan, NSO Group’a benzer İsrail merkezli başka bir tehdit örgütü belirledi.
Microsoft Tehdit İstihbaratı araştırmacıları, iOS kötü amaçlı yazılım sunan DEV-0196 olarak izledikleri bir tehdit grubu ile mobil cihazlardan veri sızdırmak için bir platform satan QuaDream adlı özel sektör şirketi arasındaki bağlantıları keşfettiklerini bir blogda söyledi. gönderi 11 Nisan’da yayınlandı. Araştırmacılar, açıkça belirtmeden DEV-0196 ve QuaDream’in aslında tek ve aynı olduğunu öne sürdüler.
Araştırmacılar, “Microsoft Tehdit İstihbaratı analistleri, KingsPawn olarak adlandırdığımız kötü amaçlı yazılımın DEV-0196 tarafından geliştirildiğini ve bu nedenle QuaDream ile güçlü bir şekilde bağlantılı olduğunu büyük bir güvenle değerlendiriyor.” “DEV-0196 ile ilişkilendirdiğimiz mobil kötü amaçlı yazılımın, [company’s ‘Reign’ offering].”
Ayrı ayrı bağlantılı varlıkların faaliyetleri arasındaki paralellikler, Pegasus olarak bilinen iOS tabanlı casus yazılımları düşman hükümetlere satmadaki rolü nedeniyle geniş çapta kınanan, kara listeye alınan ve hatta dava edilen İsrail merkezli NSO Group’unkine ürkütücü bir şekilde benziyor. etik olmayan siber casusluk faaliyetleriyle gazetecileri, aktivistleri, politikacıları, iş adamlarını ve diğer özel vatandaşları hedef alın. Casus yazılım, açıklardan yararlanarak özellikle sıfır gün kusurlarını hedefler ve bu da hain faaliyetinin hafifletilmesini veya tespit edilmesini zorlaştırır.
Şüpheli QuadDream Etkinliği
Benzer şekilde, QuaDream’in REIGN’ı, sözde yasal amaçlarla mobil cihazlardan veri çıkarmak için tasarlanmış bir güvenlik açıkları, kötü amaçlı yazılım ve altyapı paketidir, ancak şirketin şüpheli bir şekilde bir web sitesi yoktur ve 2022 Reuters raporu, QuaDream’in sıfır- NSO Group’un ForcedEntry istismarında görülen aynı güvenlik açığından yararlanan iOS istismarına tıklayın.
İsrail Şirketler Otoritesi’ne göre, QuaDream, İsrail’in קוודרים בע”מ adı altında Ağustos 2016’da kuruldu. Haaretz haber kaynağı tarafından bir QuaDream broşürüne atıfta bulunulan bir raporda, Suudi Arabistan hükümetinin – gazetecileri ve diğerlerini hedef almasıyla tanınan – iddia edildi politikalarına karşı çıkanlar, Gana hükümeti gibi QuaDream’in müşterileri arasındaydı.
QuaDream ile ilişkili 250 hesabı kapattığı bildirilen Meta’nın Aralık 2022 tarihli ayrı bir raporu da şirketin faaliyetlerine ışık tutuyor. Araştırmacılar, bu raporda, QuaDream’in “mesajlar, resimler, video ve ses dosyaları ve coğrafi konum dahil olmak üzere çeşitli veri türlerini sızdırmak” amacıyla iOS ve Android mobil cihazlarından yararlanma yeteneğini test ettiğini iddia etti.
Bu arada Microsoft Tehdit İstihbaratı, DEV-0196’nın hem istismar hizmetlerini hem de KingsPawn iOS kötü amaçlı yazılımını, gazeteciler, siyasi muhalefet figürleri ve bir sivil toplum kuruluşu (STK) çalışanı dahil olmak üzere sivil toplum üyelerini gözetlemek ve izlemek için hükümetlere sattığına inanıyor. Avrupa, Kuzey Amerika, Orta Doğu ve Güneydoğu Asya’daki yerlerde.
Microsoft, QuaDream ve DEV-0196 arasındaki bağlantıların soruşturulmasında Toronto Üniversitesi’nin Munk Okulu’na ait Citizen Lab dahil olmak üzere yukarıda bahsedilen coğrafyalarda en az beş DEV-0196 hedefi belirleyen birkaç ortakla birlikte çalıştı. Ayrıca Bulgaristan, Çekya, Macaristan, Gana, İsrail, Meksika, Romanya, Singapur, Birleşik Arap Emirlikleri ve Özbekistan’daki QuaDream sistemleri için operatör konumlarını belirledi. Citizen Lab, bulgular hakkında kendi ayrı raporunu yayınladı.
Microsoft Threat Intelligence’a göre DEV-0196’nın davranışı, hizmet olarak erişim de dahil olmak üzere çeşitli iş modelleri aracılığıyla bilgisayar korsanlığı araçları veya hizmetleri satan “özel sektör saldırgan aktörleri (PSOA’lar)” veya “siber paralı askerler” ile tutarlıdır. – en yüksek teklifi verene. Doğrudan bireyleri hedef almazlar veya siber casusluk operasyonlarını kendileri yürütmezler.
KingsPawn: Özel Bir Casus Yazılım
Microsoft ve ortakları, özellikle iOS 14’ü hedefleyen çok bileşenli KingsPawn örneklerini analiz etti. Ancak araştırmacılar, kodun bir kısmının Android cihazlarda da kullanılabileceğini söyledi. Araştırmacılar, Apple’ın işletim sistemi yazılımının en son sürümünün zaten iOS 16’ya yükseltilmesi nedeniyle, tehdit grubunun kötü amaçlı yazılımı iOS 14’ten yeni sürümlerini hedefleyecek şekilde zaten güncellemiş olması muhtemeldir.
KingsPawn iki aracıdan oluşur: Objective-C’de yazılmış yerel bir Mach-O dosyası biçimindeki bir izleme aracısı ve tehdit aktörleri tarafından tercih edilen bir dil olan GoLang’da yazılmış yerel bir Mach-O dosyası olan ana kötü amaçlı yazılım aracısı. araştırmacılar, diğer özelliklerin yanı sıra taşınabilirliğin de olduğunu söyledi.
İzleme aracısı, kötü amaçlı yazılımın tespit edilmesini önlemek ve soruşturmaları engellemek için adli ayak izini azaltmaktan ve ayrıca beklenmeyen işlem çökmelerinden kaynaklanan yapıları önlemek için kötü amaçlı yazılım adına oluşturulan çeşitli süreçleri ve iş parçacıklarını yönetmekten sorumludur.
Araştırmacılar, KingsPawn’ın ana aracısının içinde, kurbanları izlemek ve veri çalmak için tüm yeteneklerin yattığı casus yazılımın gerçek sosunun olduğunu söyledi.
Ana aracının yetenekleri şunları içerir: cihaz, Wi-Fi, hücresel bilgi alma, dosyaları arama ve alma, arka planda kamerayı kullanma, cihazın nerede olduğunu bulma, telefon görüşmelerini izleme, şifreler için iOS anahtar zincirine erişme ve bir Saklanan verileri almak için zamana duyarlı iCloud tek seferlik parola.
Aracı ayrıca, adı verilen iç içe geçmiş bir uygulama uzantısı oluşturarak XPC mesajlaşması için güvenli bir kanal oluşturur. fud.apex,” diye yazdı araştırmacılar. “XPC mesajlaşması, aracının konum ayrıntıları gibi hassas cihaz bilgileri için çeşitli sistem ikili dosyalarını sorgulamasına olanak tanır.”
Mobil Casus Yazılımlardan Tespit ve Koruma
Araştırmacılar, Microsoft’un, grubun alan adı kayıt şirketlerini ve ödeme olarak kripto para birimini kabul eden ucuz bulut barındırma sağlayıcılarını yoğun şekilde kullanmasına dayalı olarak DEV-019’un altyapısının parmak izini sürmek için kullanılabilecek benzersiz ağ algılamaları geliştirdiğini söyledi.
Gönderide, “IP adresi başına yalnızca tek bir etki alanı kullanma eğilimindeydiler ve etki alanları çok nadiren birden çok IP adresinde yeniden kullanıldı” diye yazdılar. “Gözlenen alanların birçoğu ücretsiz Let’s Encrypt SSL sertifikaları kullanılarak dağıtılırken, diğerleri normal Kubernetes dağıtımlarıyla uyum sağlamak üzere tasarlanmış kendinden imzalı sertifikalar kullandı.”
Blog gönderisi, Citizen Lab’in kurbanların yerleri olarak tanımladığı bazı ülkelerle, QuaDream platformlarının faaliyet gösterdiği ülkelerle güçlü bir şekilde ilişkili alanlar da dahil olmak üzere, araştırmacıların potansiyel kurbanların güvenliğinin ihlal edilip edilmediğini belirlemelerine yardımcı olmak için araştırmalarından derlediği ağ tabanlı göstergeler içeriyor. , ya da her ikisi de.
Araştırmacılar, mobil cihazların sıfır tıklama güvenlik açıklarından yararlanan tehdit aktörleri tarafından istismar edilmesini önlemenin zor olduğunu kabul etmekle birlikte, mobil cihazların tehlikeye girme riskini en aza indirmenin yolları olduğunu söyledi.
Cihaz yazılımını otomatik güncellemeler yoluyla güncel tutmak için temel siber hijyen ve en iyi uygulamaları takip etmek, kötü amaçlı yazılımdan koruma yazılımı kullanmak ve kötü amaçlı bağlantılara veya şüpheli mesajlara tıklamamak için tetikte olmak da potansiyel kurbanların uzlaşmadan kaçınmasına yardımcı olabilir.
Araştırmacılar ayrıca, bir iOS cihazı kullanan birinin casus yazılım hedefi olabileceğine inanıyorsa, Kilitleme Modu’nu etkinleştirerek gelişmiş iOS güvenliğini etkinleştirebileceğini ve böylece tehdit aktörlerinin saldırı yüzeyini azaltabileceğini önerdi.