Apple, mesaj uygulamasında mevcut olan şimdi paylaşılan bir güvenlik kusurunun, sivil toplum üyelerini sofistike siber saldırılarda hedeflemek için vahşi doğada aktif olarak kullanıldığını açıkladı.
CVE-2025-43200 olarak izlenen güvenlik açığı, 10 Şubat 2025’te iOS 18.3.1, iPados 18.3.1, iPados 17.7.5, MacOS Sequoia 15.3.1, MacOS Sonoma 14.7.4, Macos Ventura 13.7.4, Watchos 11.3.1 ve Visionos 2.3.1’in bir parçası olarak ele alındı.
Bir danışmanlıkta, güvenlik açığının gelişmiş çeklerle ele alındığını ekleyerek, “Bir ICLOUD bağlantısı üzerinden paylaşılan bir şekilde hazırlanmış bir fotoğraf veya videoyu işlerken bir mantık sorunu vardı.” Dedi.
İPhone üreticisi ayrıca, kırılganlığın “özel olarak hedeflenen bireylere karşı son derece sofistike bir saldırıdan yararlanmış olabileceğinin farkında olduğunu” kabul etti.
İOS 18.3.1, iPados 18.3.1 ve iPados 17.7.5 güncellemelerinin, CVE-2025-24200 olarak izlenen başka bir aktif olarak sömürülen sıfır gününü çözdüğünü belirtmek gerekir. Şu anda Apple’ın neden bu kusurun varlığını şimdiye kadar açıklamamayı seçtiği bilinmiyor.
Apple, CVE-2025-43200 silahlandıran saldırıların doğası hakkında daha fazla ayrıntıyı paylaşmasa da, Citizen Lab, eksikliğin İtalyan gazeteci Ciro Pellegrino ve isimsiz önde gelen Avrupalı gazeteciyi hedeflemek ve onları Paragon’un grafiğin grafit mercan yazılımı ile enfekte etmek için adli kanıtları ortaya çıkardığını söyledi.
Disiplinlerarası Araştırma Merkezi saldırıyı sıfır tıkırtı olarak tanımladı, yani güvenlik açığı herhangi bir kullanıcı etkileşimi gerektirmeden hedeflenen cihazlarda tetiklenebilir.
Araştırmacılar Bill Marczak ve John Scott-Railton, “Gazetecinin cihazlarından biri, Ocak ayında ve Şubat 2025’in başında Paragon’un grafit casus yazılımlarından ödün verildi.” Dedi. “Bu enfeksiyonun hedef tarafından görülemeyeceğine inanıyoruz.”
Her iki kişiye de 29 Nisan 2025’te Apple tarafından gelişmiş casus yazılımlarla hedeflendikleri konusunda bilgilendirildi. Apple, Kasım 2021’den itibaren devlet destekli saldırganlar tarafından hedef alındığından şüphelendiği kullanıcıları uyarmak için tehdit bildirimleri göndermeye başladı.
Grafit, İsrail Özel Sektör Saldırı Aktör (PSOA) Paragon tarafından geliştirilen bir gözetim aracıdır. Herhangi bir kullanıcı eylemi olmadan mesajlara, e -postalara, kameralara, mikrofonlara ve konum verilerine erişebilir, bu da tespit ve önleme özellikle zorlaştırır. Casus yazılımlar tipik olarak hükümet müşterileri tarafından Ulusal Güvenlik Soruşturmaları kisvesi altında dağıtılır.
Citizen Lab, iki gazetecinin grafit aracını dağıtmak için aynı Apple hesabından (“Saldırgan1” kodlu) iMessages gönderildiğini ve bu da hesabın tek bir Paragon müşterisi tarafından bunları hedeflemek için kullanılmış olabileceğini gösterdiğini söyledi.
Geliştirme, Ocak ayında, Meta’ya ait Whatsapp’ın casus yazılımların Pellegrino’nun meslektaşı Francesco Cancellato da dahil olmak üzere küresel olarak düzinelerce kullanıcıya yerleştirildiğini açıkladığı bir skandaldaki en son bükülme. Toplamda, toplam yedi kişi bugüne kadar Paragon hedefleme ve enfeksiyonun kurbanı olarak tanımlanmıştır.
Bu haftanın başlarında, İsrail casus yazılım üreticisi, hükümetin şirketin İtalyan makamlarının araştırmacı gazetecinin telefonuna girmediğini bağımsız olarak doğrulamasına izin vermeyi reddettiğini belirterek İtalya ile yapılan sözleşmelerini sonlandırdığını söyledi.
Haaretz’e yaptığı açıklamada, “Şirket hem İtalyan hükümeti hem de parlamentoya, sisteminin İtalyan hukukunu ihlal ederek gazeteciye karşı kullanılıp kullanılmadığını belirlemenin bir yolu sundu.” Dedi.
Ancak İtalyan hükümeti, kararın karşılıklı olduğunu ve ulusal güvenlik endişeleri nedeniyle teklifi reddettiğini söyledi.
Geçen hafta yayınlanan bir raporda Cumhuriyet Güvenliği Parlamento Komitesi (Copasir), İtalyan dış ve iç istihbarat hizmetlerinin gerekli yasal onaydan sonra sınırlı sayıda insanın telefonlarını hedeflemek için grafit kullandığını doğruladı.
Copasir, casus yazılımların kaçakları aramak, yasadışı göçü karşı koymak, terörizme, organize suç, yakıt kaçakçılığı ve karşı ihale ve iç güvenlik faaliyetlerini aramak için kullanıldığını da sözlerine ekledi. Ancak, Cancellato’ya ait telefon kurbanlar arasında değildi, dedi gazeteciyi kimin cevapsız hedeflemiş olabileceği konusunda kilit bir soru bıraktı.
Ancak rapor, Paragon’un casus yazılım altyapısının arka planda nasıl çalıştığına ışık tutuyor. Bir operatörün grafit kullanmak için bir kullanıcı adı ve şifre ile oturum açması gerektiğini söyledi. Spyware’in her dağıtımı, müşteri tarafından kontrol edilen ve Paragon tarafından erişilemeyen bir sunucuda bulunan ayrıntılı günlükler oluşturur.
Citizen Lab, “Bu casus yazılım hedefleri için sunulan hesap verebilirlik eksikliği, Avrupa’daki gazetecilerin bu son derece istilacı dijital tehdide ne kadar maruz kalmaya devam ettiklerini ve casus yazılım proliferasyonu ve istismarının tehlikelerinin altını çizdiğini vurgulamaktadır.” Dedi.
Avrupa Birliği (AB) daha önce ticari casus yazılımların kontrolsüz kullanımı, daha güçlü ihracat kontrolleri ve yasal güvenceler çağrısında bulunulması konusunda endişeleri dile getirmişti. Bunun gibi son vakalar hem ulusal hem de AB düzeylerinde düzenleyici reformlar için baskıyı yoğunlaştırabilir.
Apple’ın tehdit bildirim sistemi iç tehdit istihbaratına dayanmaktadır ve tüm hedefleme örneklerini tespit edemeyebilir. Şirket, böyle bir uyarı almanın aktif bir enfeksiyonu doğrulamadığını, ancak hedefli bir saldırı ile tutarlı olağandışı aktivitenin gözlemlendiğini belirtiyor.
Predatorun Dönüşü
En son vahiyler, ABD hükümetinin İsrail casus yazılım satıcısı Intellexa/Cytrox’a bağlı birkaç kişiyi onaylamasından aylar sonra, kaydedilen Future’s Insikt grubunun yırtıcı ile ilgili faaliyetlerin “yeniden canlanmasını” gözlemlediğini söyledi.
Bu, Mozambik’te daha önce bilinmeyen yeni bir müşteri olan yeni kurbana bakan Tier 1 sunucularının ve daha önce Intellexa Konsorsiyumu ile ilişkili bir Çek varlığı olan Foxitech SRO arasındaki bağlantıları tanımlamasını içerir.
Son iki yılda, yırtıcı operatörler Angola, Ermenistan, Botsvana, Kongo Demokratik Cumhuriyeti, Mısır, Endonezya, Kazakistan, Moğolistan, Mozambik, Umman, Filipinler, Suudi Arabistan ve Trinidad gibi bir düzineden fazla ilçede işaretlendi.
Şirket, “Bu, Predator’un Afrika’da oldukça aktif olduğu ve tanımlanmış müşterilerinin yarısından fazlasının kıtada bulunduğu daha geniş bir gözlemle uyumlu.” Dedi.
“Bu muhtemelen, özellikle ihracat kısıtlamalarıyla karşılaşan ülkelerde, kamu raporlama ve güvenlik geliştirmelerine yanıt olarak devam eden teknik yeniliği ve yaptırımları ve ilişkilendirmeyi engellemek için tasarlanmış giderek daha karmaşık olan kurumsal yapılarda artan casus yazılım araçlarına olan talebi yansıtmaktadır.”