Meta Platforms, kiralık gözetim sektöründe faaliyet gösteren İtalya, İspanya ve Birleşik Arap Emirlikleri (BAE) merkezli sekiz farklı firmanın kötü niyetli faaliyetlerini azaltmak için bir dizi adım attığını söyledi.
Bulgular, 2023’ün dördüncü çeyreğine ilişkin Çelişkili Tehdit Raporu’nun bir parçası. Casus yazılım iOS, Android ve Windows cihazlarını hedef alıyordu.
Şirket, “Çeşitli kötü amaçlı yazılımların, cihaz bilgilerini, konumu, fotoğrafları ve medyayı, kişileri, takvimi, e-postayı, SMS’i, sosyal medyayı ve mesajlaşma uygulamalarını toplama ve bunlara erişme ve mikrofon, kamera ve ekran görüntüsü işlevlerini etkinleştirme yeteneklerini içerdiğini” söyledi.
Sekiz şirket Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group ve Mollitiam Industries’dir.
Meta’ya göre bu firmalar aynı zamanda Facebook, Instagram, X (eski adıyla Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora gibi çok çeşitli platformları hedef alan kazıma, sosyal mühendislik ve kimlik avı faaliyetleriyle de meşgul oldu. Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch ve Telegram.
Spesifik olarak, Cy4Gate’e ait olan RCS Laboratuvarlarına bağlı hayali kişilerden oluşan bir ağın, keşif yapmak için sahte bağlantılara tıklamanın yanı sıra, kullanıcıları telefon numaralarını ve e-posta adreslerini vermeleri konusunda kandırdığı söyleniyor.
İtalyan casus yazılım satıcısı Variston IT ile ilişkili, artık kaldırılmış olan bir başka Facebook ve Instagram hesapları grubu, kötü amaçlı bağlantıların paylaşılması da dahil olmak üzere, açıklardan yararlanma geliştirme ve test etme amacıyla kullanıldı. Geçtiğimiz hafta şirketin faaliyetlerini durdurduğuna dair haberler ortaya çıktı.
Meta ayrıca, Negg Group’un casus yazılım dağıtımını test etmek için kullandığı hesapların yanı sıra Windows, macOS ve Android’i hedef alan bir veri toplama hizmeti ve casus yazılım reklamı yapan İspanyol firması Mollitiam Industries’in de kamuya açık bilgileri sızdırmak için kullandığı hesapları tespit ettiğini söyledi.
Başka yerlerde sosyal medya devi, Facebook ve Instagram’dan 2.000’den fazla hesabı, Sayfayı ve Grubu kaldırarak Çin, Myanmar ve Ukrayna’dan gelen ağlar üzerinde harekete geçerek koordineli orijinal olmayan davranışlar (CIB) sergiledi.
Çin kümesi, ABD’nin Tayvan ve İsrail’e yönelik dış politikasını ve Ukrayna’ya verdiği desteği eleştiren içeriklerle ABD’li izleyicileri hedef alırken, Myanmar kökenli ağ, Burma ordusunu öven, etnik silahlı örgütleri ve etnik silahlı örgütleri kötüleyen orijinal makalelerle kendi sakinlerini hedef aldı. azınlık grupları.
Üçüncü küme, Ukraynalı politikacı Viktor Razvadovskyi’yi destekleyen içerik yayınlamak için sahte Sayfalar ve Gruplar kullanması ve aynı zamanda Kazakistan’da “mevcut hükümet hakkında destekleyici yorumlar ve muhalefet hakkında eleştirel yorumlar” paylaşmasıyla dikkat çekiyor.
Bu gelişme, Meta’nın da aralarında bulunduğu hükümet ve teknoloji şirketlerinden oluşan bir koalisyonun, ticari casus yazılımların insan hakları ihlallerini gerçekleştirmek amacıyla kötüye kullanılmasını engellemek için bir anlaşma imzalamasıyla ortaya çıktı.
Şirket, karşı önlem olarak, kötüye kullanımı zorlaştırmak ve genel saldırı yüzeyini azaltmak amacıyla Android için Messenger’da etkinleştirilmiş Kontrol Akışı Bütünlüğü (CFI) ve WhatsApp için VoIP bellek izolasyonu gibi yeni özellikler sundu.
Bununla birlikte, gözetim endüstrisi sayısız, beklenmedik biçimde gelişmeye devam ediyor. Geçen ay, 404 Media, İrlanda Sivil Özgürlükler Konseyi’nin (ICCL) Kasım 2023’te yaptığı önceki araştırmayı temel alarak, adlı bir gözetim aracının maskesini düşürdü. Desenz Mobil cihazları izlemek için 9gag, Truecaller ve Kik gibi popüler uygulamalardan toplanan gerçek zamanlı teklif verme (RTB) reklam verilerinden yararlanan.
“Patternz, ulusal güvenlik kurumlarının, kullanıcıların davranışlarına, konum modellerine ve mobil kullanım özelliklerine dayalı olarak kullanıcı eylemlerini, güvenlik tehditlerini ve anormalliklerini tespit etmek, izlemek ve tahmin etmek için gerçek zamanlı ve geçmiş kullanıcı reklamları tarafından oluşturulan verileri kullanmasına olanak tanır, ISA, ürünün arkasındaki İsrail şirketi kendi internet sitesinde iddia edildi.
Daha sonra geçen hafta Enea, Pegasus üreticisi NSO Grubu tarafından kullanıldığı iddia edilen, MMS Parmak İzi olarak bilinen, daha önce bilinmeyen bir mobil ağ saldırısının ayrıntılarını açıkladı. Bu bilgi, şirket ile Gana’nın telekom düzenleyicisi arasında 2015 yılında yapılan bir sözleşmeye dahil edildi.
Kullanılan kesin yöntem bir sır olarak kalsa da, İsveç telekomünikasyon güvenlik firması, bunun muhtemelen, ikili SMS olarak adlandırılan ve alıcı cihaza, alınmayı bekleyen bir MMS’i bildiren özel bir SMS mesajı türü olan MM1_notification.REQ kullanımını içerdiğinden şüpheleniyor. Multimedya Mesajlaşma Servis Merkezi (MMSC).
MMS daha sonra MM1_retrieve.REQ ve MM1_retrieve.RES aracılığıyla getirilir; ilki, MM1_notification.REQ mesajında içerilen URL adresine yapılan bir HTTP GET isteğidir.
Bu yaklaşımın dikkate değer yanı, Kullanıcı Aracısı (bir web tarayıcısı Kullanıcı Aracısı dizesinden farklı) ve x-wap profili gibi kullanıcı cihazı bilgilerinin GET isteğine yerleştirilmesi ve dolayısıyla bir tür parmak izi görevi görmesidir.
Enea, “(MMS) Kullanıcı Aracısı, genellikle işletim sistemini ve cihazı tanımlayan bir dizedir” dedi. “x-wap-profile, bir mobil cihazın yeteneklerini açıklayan bir UAProf (Kullanıcı Aracısı Profili) dosyasına işaret ediyor.”
Casus yazılım dağıtmak isteyen bir tehdit aktörü, bu bilgileri belirli güvenlik açıklarından yararlanmak, kötü amaçlı yüklerini hedef cihaza uyarlamak ve hatta daha etkili kimlik avı kampanyaları oluşturmak için kullanabilir. Bununla birlikte, bu güvenlik açığının son aylarda vahşi bir şekilde istismar edildiğine dair hiçbir kanıt yok.