Kaspersky’ye göre bu devam eden bir soruşturma ve failler henüz belirlenmedi.
Siber güvenlik devi ve antivirüs satıcısı Kaspersky’nin CEO’su Eugene Kaspersky, bir blog yazısında üst düzey çalışanları tarafından kullanılan düzinelerce iPhone’un ses kaydetme, mesajlaşma uygulamalarından görüntü yakalama, coğrafi konum belirleme ve daha fazlasını yapabilen casus yazılım içerdiğini ortaya çıkardı.
Şirket, WiFi ağındaki iOS cihazlarının, Üçgenleme Operasyonu’nun bir parçası olarak sıfır gün istismarları başlatan tehdit aktörlerinin hedefi haline geldiğini belirtti. Araştırmacılar, enfeksiyonun en eski izlerini 2019’da keşfettiler ve saldırının hala aktif olduğuna inanılıyor.
Etkinlik Nasıl Keşfedildi?
Kaspersky araştırmacıları, KUMA (Kaspersky Unified Monitoring and Analysis) platformu aracılığıyla kurumsal WiFi ağlarındaki mobil cihazların ağ trafiğini izlerken birkaç iPhone’da şüpheli etkinlik fark etti.
Daha fazla araştırma yapmak için, bu cihazları içeriden inceleyemedikleri için bu cihazların çevrimdışı yedeklerini oluşturdular ve Mobil Doğrulama Araç Kiti’nin mvt-ios’unu kullanarak bir virüs bulaştığını keşfettiler. Bu yardımcı program, olayların sırası hakkında bilgi sağlayarak araştırmacıların olayı yeniden oluşturmasına olanak tanır.
Daha Derin Kazmak…
Saldırı, iOS telefon kullanıcılarının açıktan yararlanmayı içeren eki olan bir iMessage almasıyla başlar. Tıklandığında, kullanıcı girdisini içermeden kod yürütülmesine yol açan bir güvenlik açığını tetikler ve bu da onu sıfır tıklama saldırısı haline getirir.
Kötü amaçlı kod, C2 sunucusuna bağlandıktan sonra, ayrıcalık yükseltme istismarlarını içerebilen yeni yükler indirir. Nihai yük, zengin özelliklere sahip bir APT platformudur.
“Nihai faydalı yükün analizi henüz bitmedi. Kod, kök ayrıcalıklarıyla çalıştırılır, sistem ve kullanıcı bilgilerini toplamak için bir dizi komut uygular ve C&C sunucusundan eklenti modülleri olarak indirilen rasgele kodu çalıştırabilir.”
Daha Derin Erişim Elde Etmek İçin Kullanılan Çeşitli Güvenlik Açıkları
Birden çok güvenlik açığı, saldırganların güvenliği ihlal edilmiş cihaza daha derin erişim sağlaması için birleştirilir. Son yük indirildikten sonra, mesaj ve kötü amaçlı ekler kendi kendini silme işlemini başlatır. Cihaz yeniden başlatılırsa kötü amaçlı yazılım kalıcılığını sürdüremez, ancak araştırmacılar bazı örneklerde yeniden bulaşma gözlemledi.
Bu saldırı zincirinde kullanılan hataların kesin doğası belirsizdir, ancak kusurlardan biri Apple tarafından Aralık 2022’de yamalanan çekirdek uzantısı güvenlik açığı (CVE-2022-46690) olabilir.
Apple’ın Yanıtı
Kaspersky’nin bulguları, Rus güvenlik servislerinin ABD’yi keşif operasyonları başlatmak için Apple cihazlarını kullanmakla suçlayan bir bildiri yayınladığı gün yayınlandı.
“Bu markanın birkaç bin telefon setine virüs bulaştı….. Yurtiçi abonelere ek olarak, yabancı numaraların ve NATO bloğu ve sonrası ülkeler de dahil olmak üzere Rusya’daki diplomatik misyonlar ve büyükelçiliklerde kayıtlı SIM kart kullanan abonelerin bulaşma gerçekleri. Rus istihbaratı, Sovyet uzayının yanı sıra İsrail, ÖİB ve Çin’in ortaya çıktığını iddia etti.
Ancak Apple sözcüsü, ürünlerinin hiçbirinin arka kapı içermediğini ve Apple’ın asla hükümetlerle işbirliği yapmayacağını belirterek bu iddiaları yalanladı.
Kaspersky’nin raporuyla ilgili olarak Apple, sorunun iPhone’ların bazı sürümlerinde (iOS sürüm 15.7 ve altı) tespit edildiğini, oysa şu anda iOS cihazların 16.5 sürümünü çalıştırdığını belirtti.
Bir iOS ve macOS güvenlik araştırmacısı olan Patrick Wardle, Wired’e Kaspersky’nin beş yıl boyunca bir iOS sıfır gün açığı tarafından saldırıya uğradığını ve sorunun şimdi keşfedildiğini ve sıfır gün açıklarını tespit etmenin oldukça zor olduğunu söyledi.
Kaspersky, bu zorluğun iOS’un kilitli tasarımından kaynaklandığını ve iOS’un etkinliklerini denetlemeyi zorlaştırdığını belirtti. Bu devam eden bir soruşturma ve failler henüz belirlenmedi. Bir güncelleme için bizi izlemeye devam edin…
İLGİLİ MAKALELER
- İsrail Kaspersky Labs’ı hackledi
- Kaspersky, CIA kötü amaçlı yazılımını tespit etti
- ABD: Kaspersky ulusal bir güvenlik tehdidi
- WikiLeaks’in Vault 8’i: Kaspersky Lab’in Kimliğine CIA Taklit Edildi
- Kaspersky, NSA Hacking Araçlarının Nasıl Çalındığını Açıkladı