Citizen Lab’in son bulgularına göre, İsrailli casus yazılım üreticisi NSO Group, Apple tarafından kurulan savunmalara sızmak ve Pegasus’u konuşlandırmak için 2022’de iPhone’lara karşı en az üç yeni “sıfır tıklama” istismarı uyguladı.
Toronto Üniversitesi’ndeki disiplinler arası laboratuvar, “NSO Group müşterileri, dünyanın dört bir yanındaki sivil toplum hedeflerine karşı en az üç iOS 15 ve iOS 16 sıfır tıklamalı istismar zincirini yaygın olarak kullandı.” dedi.
NSO Group, bir cihazda saklanan hassas bilgileri (örneğin, diğerleri arasında mesajlar, konumlar, fotoğraflar ve arama kayıtları) gerçek zamanlı olarak çıkarabilen gelişmiş bir siber silah olan Pegasus’un üreticisidir. Genellikle, sıfır tıklama ve/veya sıfır gün istismarları kullanılarak hedeflenen iPhone’lara teslim edilir.
Kolluk kuvvetlerinin çocuklara yönelik cinsel istismar ve terörizm gibi ciddi suçlarla mücadele etmesi için bir araç olarak sunulurken, aynı zamanda otoriter hükümetler tarafından insan hakları savunucuları, demokrasi savunucuları, gazeteciler, muhalifler ve diğerleri hakkında casusluk yapmak için yasa dışı olarak kullanıldı.
Pegasus’un kötüye kullanılması, ABD hükümetinin 2021’in sonlarında NSO Group’u ticari bloke listesine eklemesine neden oldu ve Apple, kullanıcılarını hedef aldığı için şirkete karşı kendi davasını açtı.
Temmuz 2022’de casus yazılımın, KISMET ve FORCEDENTRY adlı iki sıfır tıklama istismarı kullanılarak Ekim 2020 ile Kasım 2021 arasında ülkenin demokrasi yanlısı protestolarına katılan Taylandlı aktivistlere karşı kullanıldığı ortaya çıktı.
Citizen Lab tarafından ortaya çıkarılan son kampanyanın hedeflerinden ikisi, Meksika Ordusu’nun yargısız infaz ve kayıplarının kurbanlarını temsil eden Centro PRODH’dan insan hakları savunucularını içeriyor. İzinsiz girişler Haziran 2022’de gerçekleşti.
Bu, LATENTIMAGE, FINDMYPWN ve PWNYOURHOME olarak adlandırılan ve iOS 15 ve iOS 16’daki çeşitli kusurları sıfır gün olarak silahlandırarak cihazlara nüfuz eden ve sonunda Pegasus’u başlatan üç farklı istismar zincirinin kullanılmasını gerektirdi.
- GİZLİ GÖRÜNTÜ (iOS sürüm 15.1.1, Ocak 2022’de tespit edildi) – iPhone’un Find My özelliğini ve SpringBoard’u içerdiğinden şüphelenilen bir istismar
- BULMAK (iOS sürümleri 15.5 ve 15.6, Haziran 2022’de tespit edildi) – Find My işlevselliğini ve iMessage’ı kullanan iki aşamalı bir istismar
- PWNYOURHOME (iOS sürüm 16.0.3, Ekim 2022’de tespit edildi) – BlastDoor korumalarını atlamak için iPhone’larda yerleşik HomeKit işlevselliğini ve iMessage’ı birleştiren iki aşamalı bir istismar
Cesaret verici bir işaretle Citizen Lab, Kilitleme Modunun bir PWNYOURHOME saldırı girişimini engellemek için devreye girdiğine dair kanıt bulduğunu ve kullanıcıları Gmail ve Yahoo! ile bilinmeyen tarafları engellediği konusunda uyardığını söyledi. hesapların “bir Ana Sayfaya erişmeye” çalışmasından.
Geliştirme, iPhone’un saldırı yüzeyini azaltmak için tasarlanan Kilitleme Modu’nun birini bir uzlaşmadan başarıyla koruduğu, halka açık olarak belgelenen ilk örneği işaret ediyor.
Bununla birlikte Citizen Lab, NSO Group’un “Kilitleme Modunda parmak izi almak gibi bildirim sorununu düzeltmenin bir yolunu bulmuş olabileceğine” dikkat çekti. Apple, o zamandan beri iOS 16.3.1’de HomeKit’e birkaç güvenlik iyileştirmesi gönderdi ve Kasım ve Aralık 2022 ile Mart 2023’te hedeflenen kurbanlara bildirimler gönderdi.
Bulgular, NSO’nun, herhangi bir hedefin enfeksiyonu tetiklemek için herhangi bir işlem yapmasına gerek kalmadan iPhone’lara girmek için gelişen saldırı tekniklerinin en son örneğidir.
Ayrıca, New York Times’ın Meksika’nın son aylarda insan hakları savunucularını hedef almak için Pegasus’u kullandığını ortaya çıkaran ve ülkenin nasıl casus yazılımın ilk ve en üretken kullanıcısı haline geldiğini ayrıntılarıyla anlatan yeni bir soruşturmasıyla aynı zamana denk geliyorlar.
Jamf Threat Labs, bu tür kampanyaların yaygın doğasının bir başka göstergesi olarak, Orta Doğu’da yaşayan bir insan hakları aktivistinin yanı sıra Macar bir gazetecinin casus yazılımlarla hedef alındığına dair kanıtlar ortaya çıkardı. İsimleri açıklanmadı.
Aldatarak Savun: Sıfır Güven Güvenliğini Geliştirme
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Gazetecinin iPhone’unu hedef alan saldırı, cihazın bir iPhone 6s olması ve artık en son iOS sürümüyle uyumlu olmaması açısından da önemlidir.
Apple, eski aygıtlardaki (iPhone 6s tarafından desteklenen mevcut sürüm iOS 15.7.5’tir) kritik kusurlar için arka bağlantı düzeltmeleri yapsa da, tüm güvenlik açıklarının eski aygıtlar için ele alınmadığına dikkat etmek önemlidir.
Jamf, “Sonuç olarak, tehdit aktörleri, daha yeni desteklenen cihazlarda yamalanmış güvenlik açıklarından yararlanmaya devam ederek potansiyel olarak saldırganlara hedeflenen cihazlara uzaktan erişim elde etmek için daha fazla zaman ve daha fazla bilgi verebilir” dedi.
Casus yazılım saldırılarına karşı korunmak için en son işletim sistemi güncellemelerini uygulamanız, eski cihazları daha yeni iPhone veya iPad modellerine yükseltmeniz ve Kilitleme Modu’nu etkinleştirmeniz önerilir.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), 19 Nisan 2023’te yayınlanan bir danışma belgesinde, “ticari siber araçların çoğalmasının küresel olarak kuruluşlar ve bireyler için büyüyen bir tehdit oluşturacağı” konusunda uyarıda bulundu.
Ajans, “Siber araçların ve hizmetlerin ticari olarak yaygınlaşması, devlet ve devlet dışı aktörlerin başka türlü geliştiremeyecekleri veya elde edemeyecekleri yetenek ve istihbaratı elde etmedeki giriş engelini azaltıyor” dedi.