iShutdown aracı, Kaspersky siber güvenlik araştırmacılarının Üçgenleme Operasyonu hakkında önemli bilgiler ortaya çıkarmasından birkaç hafta sonra kullanıma sunuldu. Bu araştırma, casus yazılım tehditlerinin iPhone’ları nasıl tehlikeye attığını araştırıyor.
Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), kullanıcıların gazetecileri ve aktivistleri hedef aldığı bilinen popüler bir iOS casus yazılımı olan Pegasus’u tespit etmesine olanak tanıyan yeni bir araç tanıttı. iShutdown adı verilen bu hafif yöntem, Pegasus, QuaDream’s Reign ve Intellexa’s Predator gibi önde gelen üç casus yazılım ailesi de dahil olmak üzere Apple iOS cihazlarındaki casus yazılım belirtilerini tanımlayacaktır.
iShutdown aracı, Kaspersky Labs’ın çalışanlarının iPhone’larının ele geçirildiğini ilk kez bildirmesinden yedi ay sonra, Üçgenleme Operasyonu olarak anılarak artık halka açık hale geldi. Aralık 2023’te şirket, bilgisayar korsanlarının iPhone kullanıcılarına yönelik casus yazılım saldırıları sırasında muhtemelen belirsiz bir donanım özelliğinden yararlandığını açıklayan bir güncelleme yayınladı.
Yöntem, Pegasus’un güvenliği ihlal edilmiş bir dizi iPhone üzerinde test edildi. Ancak bu yöntemin/aracın, Mac cihazlarının kapanmasına/uyku moduna geçmesine/yeniden başlatılmasına/oturumun kapatılmasına olanak tanıyan iShutdown iOS uygulamasından farklı olduğunu belirtmek gerekir.
Siber güvenlik firmasına göre, casus yazılımın bulaştığı iPhone’larda “Shutdown.log” adlı metin tabanlı bir sistem günlük dosyasında Pegasus ile ilgili süreçlerin izleri keşfedildi.
Günlük dosyası, iOS cihazlarının sysdiagnose arşivinde saklanır. Her yeniden başlatma olayını çevresel özellikleriyle birlikte kaydeder ve genellikle gözden kaçan bir adli olaydır. Birkaç yıl öncesine ait, değerli bilgiler sağlayan girişler olabilir. Bir kullanıcı yeniden başlatmayı başlattığında, işletim sistemi çalışan işlemleri sonlandırır, bellek arabelleklerini temizler ve normal bir yeniden başlatmayı bekler.
Analizi, yeniden başlatmayı engelleyen “yapışkan” süreçleri ortaya çıkardı. Dörtten fazla yeniden başlatma gecikmesi bildiriminde Pegasus ile ilgili işlemler tespit edildi. Yeniden başlatma prosedürleri sırasındaki bu anormallikler, aracın potansiyel bulaşmaları yüksek doğrulukla işaretlemesine olanak tanıdı. Daha ileri analizler, üç casus yazılım ailesi tarafından da kullanılan benzer bir dosya sistemi yolunu ortaya çıkardı; Pegasus ve Reign için “/private/var/db/” ve Predator için “/private/var/tmp/”, bir uzlaşma göstergesi olarak.
Kaspersky GReAT’in baş güvenlik araştırmacısı Maher Yamout, günlüğün diğer Pegasus enfeksiyonlarıyla tutarlılığını doğruladı ve bu da günlüğün enfeksiyon analizi için güvenilir bir adli eser haline geldiğini doğruladı. Araç, daha geniş bir kullanıcı tabanına gelişmiş koruma sunar.
Yamout, “Adli cihaz görüntüleme veya tam iOS yedeklemesi gibi daha fazla zaman harcayan edinme yöntemleriyle karşılaştırıldığında Shutdown.log dosyasının kurtarılması oldukça basittir” diye açıkladı.
Kaspersky, casus yazılımları tespit etmek amacıyla macOS, Windows ve Linux kullanıcıları için GitHub’da bir Python3 yardımcı programı geliştirdi. Araç, Shutdown.log yapıtlarını çıkarır, analiz eder ve ayrıştırır. Tespiti basitleştirir ve farkındalığı artırarak kullanıcıların dijital güvenliklerinin kontrolünü ele almalarını sağlar.
Ancak Kaspersky, kullanıcıların veri ve cihaz güvenliğine yönelik bütünsel bir yaklaşım benimsemesini öneriyor. Şirket, kullanıcıların günlük olarak yeniden başlatma yapmalarını, kilitleme modunu kullanmalarını, iMessage ve FaceTime’ı devre dışı bırakmalarını, iOS güncellemelerini zamanında yapmalarını ve yedeklemeleri düzenli olarak kontrol etmelerini öneriyor.
Duyuru, SentinelOne’ın KeySteal, Atomic ve JaskaGo gibi macOS’u hedef alan bilgi hırsızlarının Apple’ın XProtect adlı yerleşik antivirüs teknolojisini atlatmaya hızla adapte olduklarını ortaya koyan raporunun ardından geldi.
İLGİLİ MAKALELER
- İsrailli iPhone hackleme casus yazılım şirketi QuaDream kapatılacak
- Avrupalı Casus Yazılım Satıcısı Android ve iOS Cihazlarından Yararlanmalar Sunuyor
- iPhone Casus Yazılımı Gizli Çip Özelliğini İstismara Ulaştırıyor, Araştırmacıları Hedef Alıyor
- Apple’ın iPhone Hack Saldırısı Uyarıları Hindistan’da Siyasi Fırtınaya Yol Açtı
- NSO sıfır tıklamalı iMessage istismarı, bağlantılara tıklamaya gerek kalmadan iPhone’u hackliyor