Kaspersky’nin Küresel Araştırma ve Analiz Ekibi’ndeki (GReAT) araştırmacılar, Pegasus casus yazılımının hedefi olma riskiyle karşı karşıya olan Apple iPhone kullanıcılarının cihazlarındaki varlığını tespit etmelerine yardımcı olacak hafif bir yöntem geliştirip yayınladı.
Apple ekosistemi, yaygın popülaritesi nedeniyle geçmişte casus yazılım geliştiricileri tarafından yoğun bir şekilde hedef alınmıştı. Gözü dönmüş İsrailli geliştirici NSO tarafından geliştirilen ve onu aktivistler, muhalifler, gazeteciler ve siyasi muhalifler hakkında casusluk yapmak için kullanan hükümetlere satılan Pegasus, bu tür araçlar arasında tartışmasız en çok bilineni. Ancak Cytrox adlı Avrupalı bir şirketten çıkan Predator ve hem NSA hem de GCHQ tarafından kullanıldığı düşünülen Reign gibi başkaları da mevcut.
Kaspersky, yeni aracının Shutdown.log adlı daha önce keşfedilmemiş bir adli eseri analiz ederek Pegasus’un varlığını ortaya çıkardığını iddia ediyor. Shutdown.log, bir iOS cihazının sysdiagnose arşivinde saklanan ve her yeniden başlatma oturumundan gelen bilgileri saklayan beklenmedik bir sistem günlüğüdür. Sonuç olarak GReAT ekibi, Pegasus ile bağlantılı anormalliklerin, virüs bulaşmış bir kullanıcının cihazı yeniden başlatması durumunda ortaya çıktığını tespit etti.
Bulunan izler arasında, yeniden başlatmayı engelleyen yapışkan süreçler ve daha önce diğer siber araştırmacılar tarafından gözlemlenen enfeksiyon izleri de vardı.
Ekip ayrıca Predator ve Reign enfeksiyonlarında görülenleri yansıtan ortak bir enfeksiyon yolunu da gözlemledi; bu da metodolojinin bu enfeksiyonları tanımlama potansiyeline sahip olduğunu gösteriyor.
“Sysdiag dökümü analizinin, potansiyel iPhone enfeksiyonlarını belirlemek için sistem tabanlı eserlere dayanarak minimum düzeyde müdahaleci ve kaynak açısından hafif olduğu kanıtlandı. Kaspersky GReAT baş güvenlik araştırmacısı Maher Yamout, “Bu günlükteki bulaşma göstergesini alan ve diğer iOS yapıtlarının Mobil Doğrulama Araç Takımı (MVT) tarafından işlenmesini kullanarak bulaşmayı doğrulayan bu günlük, artık iOS kötü amaçlı yazılım bulaşmasını araştırmaya yönelik bütünsel bir yaklaşımın parçası haline geliyor” dedi.
“Bu davranışın analiz ettiğimiz diğer Pegasus enfeksiyonlarıyla tutarlılığını doğruladığımız için enfeksiyon analizini destekleyecek güvenilir bir adli eser olarak hizmet edeceğine inanıyoruz.”
Öz değerlendirme
Kaspersky’nin yeni öz değerlendirme aracı, Shutdown.log yapıtını çıkaran, analiz eden ve ayrıştıran bir Python3 betiğidir. GitHub’da herkesin kullanımına sunuldu ve ayrıca macOS, Windows ve Linux çalıştıran cihazlarda da kullanılabilir.
Kaspersky, yeni aracın avantajlarından yararlanmanın yanı sıra, cihazları aracılığıyla kendilerini gözetlemeye yönelik planlı girişimlere maruz kalma riskiyle karşı karşıya olabileceklerine inanan kullanıcılara bir dizi ek adım atmalarını da tavsiye etti.
Bunlar arasında, Pegasus’un tarihsel olarak kullandığı sıfır gün açıklarının çoğu, yeniden başlatıldığında kalıcılığı sağlamadığı için cihazların günlük olarak yeniden başlatılması da yer alıyor; Apple’ın yerleşik Kilitleme Modunun açılması; istismar vektörü olarak yoğun şekilde kullanılan iMessage ve Facetime’ın devre dışı bırakılması; Apple yeni güvenlik güncellemeleri yayınladığında cihazlara hızlı bir şekilde yama uygulanması; çevrimiçi davranışları konusunda dikkatli olmak – örneğin mesajlarda alınan bağlantılara tıklamaktan kaçınmak; ve yedeklemeleri ve sistem diag’larını düzenli olarak kontrol etmek.
Kaspersky’nin kendisi de, 2019’dan itibaren işletim sistemine iki zincirleme sıfır gün yoluyla iletilen Üçgenleme adlı sıfır tıklamalı iOS casus yazılımının hedefiydi. Bu kötü amaçlı yazılım, özellikle saldırı zincirini ve varlığını gizlemek için kullandığı bazı metodolojiler söz konusu olduğunda özellikle karmaşıktır.
Üçgenlemenin kökenleri bilinmiyor ancak Kaspersky’nin Rus mirası göz önüne alındığında, bu açıklamalar daha sonra Kremlin’in FSB güvenlik teşkilatı tarafından Apple’ı siber firmayı gözetlemek için ABD istihbarat servisleriyle gizlice işbirliği yapmakla suçlamak için kullanıldı. Apple, ürünlerine arka kapı yerleştirmek için hiçbir hükümetle asla çalışmayacağını söyleyerek bunu şiddetle reddetti.