Saldırganlar, devam eden Pegasus casus yazılım saldırılarında dünyanın dört bir yanındaki iPhone kullanıcılarını hedefliyor. Araştırmacılar, siber tehdit aktörlerinin Apple’ın yeni önleyici tedbirlerini atlatmak için hem yeni istismarları hem de daha eski, güncellenmemiş cihazları hedeflediğini gösteriyor.
Jamf Threat Labs araştırmacılarının yakın tarihli bir rapora göre, son altı ayda gözlemlenen çok sayıda hedefli kampanyadan biri, Orta Doğu’da bir iPhone kullanıcısını ve Avrupa’da en son iOS güncellemeleri tarafından desteklenmeyen bir iPhone 6’yı kullanan bir gazeteciyi içeriyordu. Blog yazısı. Bu güncellemeler, Apple tarafından, cihazlarında casus yazılımla ilgili olabilecek olağandışı bir etkinlik olması durumunda birini uyarmaya yardımcı olabilecek yeni tehdit “Kilitleme Modu” bildirimlerini içerir.
Saldırılar, hükümetler tarafından genellikle kötü niyetle muhalifleri veya politikaları veya rejimleri araştıran veya desteklemeyen diğer kişileri hedef almak için kullanılan bu saldırılara karşı casus yazılım ve önleme konusunda daha fazla farkındalık olsa bile, tehdit aktörlerinin nasıl gelişmeye ve karmaşıklıkta büyümeye devam ettiğini gösteriyor. dedi araştırmacılar.
Araştırmacılar gönderide, “Modern casus yazılımlar çok gelişmiştir ve ticari casus yazılımların devam eden evriminin kanıtladığı gibi, herhangi bir kullanıcının etkili bir şekilde hedef alınabilmesini sağlamak için hem eski hem de yeni cihazlarda sıfır gün güvenlik açıklarından yararlanmaya devam ediyor.”
Ayrıca, araştırmacıların son saldırıların bazılarında yer alan cihazlara derinlemesine dalabilmelerine rağmen, hedef alınan kişilerin veya kuruluşların saldırıları olaydan sonra nasıl araştırdıkları konusunda bir tutarlılık olmadığını da belirtiyorlar. Araştırmacılar, bunun daha sonraki saldırılara zamanında veya kapsamlı bir şekilde yanıt vermeyi veya önlemeyi zorlaştırdığını söyledi.
Dahası, “Apple, casus yazılımdan etkilenen tüm kullanıcılarla iletişim kurmadı, bu da kapsamlı bir uzlaşma göstergeleri (IoC’ler) listesi tutmanın ve ilgili verileri uzaktan çıkarmanın zorluklarını gösteriyor” diye yazdılar.
Ortadoğulu Aktivist Hedeflendi
Araştırmacılar, Apple’ın en son iOS güncellemelerinde önleyici tedbirleri güçlendirmesine rağmen, hiçbir iPhone’un hedeflenmekten ne kadar güvenli olduğunu gösteren iki ayrı saldırıyı özellikle detaylandırdı.
Bir saldırı, Orta Doğu’daki bir iPhone 12 Pro Max kullanıcısını hedef aldı ve sonunda Apple tarafından cihazda, İsrail’in NSO Group’un kötü şöhretli casus yazılımı Pegasus’un çalıştığını gösteren IoC’leri gösteren şüpheli etkinlikten haberdar edildi.
Araştırmacılar, Jamf Threat Labs tarafından yapılan müteakip analizlerin, Uluslararası Af Örgütü’nün Pegasus casus yazılımıyla ilişkili bir IoC olarak tanımladığı cihazda “libtouchregd” sürecinin izlerini ortaya çıkardığını söyledi.
Araştırmacılara göre cihaz ayrıca, iOS’ta bir kök klasörde bulunan ve sistem arka plan programı ReportCrash için bir yapılandırma dosyası görevi gören com.apple.CrashReporter.plist dosyasının müteakip analizi yoluyla ek IoC’ler sağladı.
Araştırmacılar, “Normal çalışma koşullarında, uygulamalara bu dosyaya erişme veya bu dosyada değişiklik yapma izni verilmez” diye yazdı. “Bu dosyanın değiştirilmesi, kilitlenme raporu günlüklerinin Apple’a bildirilmesini potansiyel olarak engelleyebilir. Ek olarak, dosyanın varlığı normal kullanıcılar için nadirdir.”
Apple, geçen yılın sonlarında Orta Doğu kullanıcısına, cihazda potansiyel bir saldırı meydana geldiğine dair bir tehdit bildirimi gönderdi ve cihazın iOS 16.2’ye güncellenmesini önerdi. Kullanıcı daha sonra saldırı zaman çizelgesini ve ayrıntılarını daha iyi anlamak için güvenlik araştırmacılarıyla görüştü ve bu, saldırıda Pegasus’un kullanıldığının belirlenmesiyle sonuçlandı.
Araştırmacılar, “Bu bulgular, Jamf Threat Labs’ın ‘kanıtlanmış’ uzlaşma durumu olan bir cihazda daha sağlam bir profil oluşturmasına olanak sağladı” diye yazdı.
Eski Bir Cihazı Hedefleme
Başka bir casus yazılım saldırısı, şu anda iOS’un en son sürümü tarafından desteklenmeyen bir iPhone 6’yı hedef aldı — Araştırmacılar, küresel bir haber ajansı için çalışan Avrupa’daki bir gazeteci tarafından kullanıldığını bildirdi. Cihaz ayrıca, Orta Doğu senaryosundaki telefona benzer şekilde, güvenliğinin ihlal edildiğini gösteren sistem çökmelerine dair kanıtlar da gösterdi.
Bununla birlikte, daha da şüpheli bir şekilde, araştırmacılar, iPhone’un katı dosya sistemi içinde “açıkça yerleşik bir ikili dosya kılığına giren” alışılmadık bir konumda dosyalar keşfettiler.
“Bu yola ve dosya adına dayanarak, bunun bir cihazın belirli bir tehdit aktörü tarafından hedeflenip hedeflenmediğini değerlendirmek için kullanılabilecek yeni bir gösterge olabileceğine inanmak için güçlü nedenlerimiz var” diye yazdılar. Tehdit aktörünü veya Pegasus’un kullanımını kesin olarak belirleyemeseler de, Apple’a aktörün potansiyel yeni bir IoC’sini bildirdiklerini söylediler.
Araştırmacılar, ayrıca, gelişmiş tehdit bildirim programı da dahil olmak üzere en son Apple güncellemeleri tarafından açıkça desteklenmeyen eski bir cihaza yönelik bir saldırının, casus yazılım aktörlerinin amansız doğasını gösterdiğini söyledi.
“iPhone 6s gibi daha eski cihazların sürekli olarak hedeflenmesi, kötü niyetli tehdit aktörlerinin bir kuruluşun altyapısındaki herhangi bir güvenlik açığından yararlanarak mümkün olan her yere saldıracağını hatırlatıyor” diye yazdılar.
Etki Azaltma ve Önleme
Casus yazılımlarla ilgili gelişmiş ve gelişen bilgi tabanı göz önüne alındığında, kuruluşların kullanıcıları saldırılara karşı koruyabilmeleri için sayısız yol vardır. Araştırmacılar, en son kampanyaların, tüm cihazların en güncel işletim sistemini çalıştırmasını ve mevcut tüm güvenlik yamalarının uygulanmasını sağlamak olan en temel azaltma taktiğini gösterdiğini söyledi.
Aynı zamanda kuruluşlar, tüm uygulamaları koruyarak kurumsal ağda benzer hijyen uygulamalıdır. — hem iş odaklı hem de kişisel — araştırmacılar, “mobil uygulama güvenlik açıkları kolayca istismar edildiğinden ve güvenlik ekipleri tarafından sıklıkla göz ardı edildiğinden” güncel ve tamamen yamalanmış durumda.
Jamf ayrıca, mobil cihazlardaki şüpheli etkinliği izlemek için güvenlik yazılımı çalıştırmanızı ve masaüstü bilgisayarlar, dizüstü bilgisayarlar ve sunucularla aynı dikkat ve aciliyetle ele alınmasını sağlamak için diğer tüm uç nokta izleme panolarıyla birlikte raporlamanızı önerir.
Kuruluşların kullanıcıları korumak için atabileceği diğer adımlar şunları içerir: şüpheli indirmeler, komuta ve kontrol (C2) göstergeleri ve veri hırsızlığı için iletişimleri izlemek ve bilinen kötü etkinlikleri daha fazla hasara yol açmadan önce engellemek için otomatik politika kontrollerini kullanmak.
Yüksek riskli kullanıcılar ayrıca, performans sorunları ve sık çökmeler gibi casus yazılım belirtileri hakkında ayrı eğitim almalıdır. — Araştırmacılar, gerekirse bir iPhone’un Kilitleme Modunu kullanmaya teşvik edildiklerini söyledi. Bu, cihazları bu son derece nadir ve son derece karmaşık siber saldırılara karşı korur.