Casus yazılım şirketi Intellexa (eski adıyla Cytrox) tarafından sunulan ticari bir casus yazılım ürünü Cisco Talos tarafından açıklanmıştır.
Casus yazılım satıcıları, genellikle çok az kullanıcı katılımı gerektiren veya hiç gerektirmeyen konuşlandırma prosedürleri tasarlayarak, nihai yükleri tanımlamayı, elde etmeyi, analiz etmeyi ve bunlara karşı savunmayı zorlaştırmak için önemli çabalar sarf eder.
Teslimat yöntemi tipik olarak, İsrail casus yazılım şirketi NSO Group tarafından üretilen FORCEDENTRY gibi sıfır tıklamalı bir açıktan yararlanma ile veya kurbanın tıklaması için kandırıldığı bir bağlantıyla (ör. Gözetim şirketi Cytrox tarafından “PREDATOR” olarak bilinen casus yazılımlarını dağıtmak için geliştirilen örnek gibi -tıklama” istismarı).
PREDATOR, en az 2019’dan beri var olan ilgi çekici bir paralı asker casus yazılımıdır.
Yeni Python tabanlı modüllerin tekrarlayan istismar olmadan verilebilmesi için esnek olacak şekilde yaratıldı, bu da onu çok yönlü ve riskli hale getiriyor.
Yanında konuşlandırılan ve “ALIEN” olarak bilinen diğer casus yazılım bileşeniyle etkileşim kurmak için kullandığı belirlendi.
İki kısım, Android işletim sisteminin daha yerleşik güvenlik önlemlerini aşmasını sağlar.
Cisco Talos, “Her iki casus yazılım bileşenine derinlemesine bakıldığında, Alien’ın Predator için bir yükleyiciden daha fazlası olduğunu ve Predator’ın kurbanlarını gözetlemek için ihtiyaç duyduğu düşük seviyeli yetenekleri aktif olarak kurduğunu gösteriyor” dedi.
casus yazılım Saldırı Aşamaları
Son zamanlarda gün ışığına çıkan casus yazılım araçlarının çoğu gibi, Intellexa’nın casus yazılım ürünleri de saldırının çeşitli aşamalarına karşılık gelen üç ana kategoriye ayrılabilecek çeşitli parçalara sahiptir:
İstismar zincirlerinde, ilk ikisi, yani istismar ve ayrıcalık yükseltme, uzaktan kod yürütme (RCE) ayrıcalıkları elde etmek için bir uzaktan güvenlik açığından yararlanarak başlar, ardından güvenlik açığı bulunan süreçler genellikle daha az ayrıcalıklı olduğundan, azaltmayı atlatmaya ve ayrıcalık yükseltmeye geçer. saldırıyı tamamlamak için.
Talos, “ALIEN ve PREDATOR, Android ve iOS mobil cihazlarına karşı kullanılabilirken, analiz ettiğimiz örnekler özellikle Android için tasarlandı” dedi.
“Ayrıcalık yükseltme için casus yazılım, QUAILEGGS adlı bir yöntemi kullanacak şekilde yapılandırılmıştır veya QUAILEGGS mevcut değilse, “kmem” adlı farklı bir yöntemi kullanır. Analiz ettiğimiz örneklerde QUAILEGGS çalışıyordu.”
Cisco Talos, Tcore’un kurbanları gizlice dinlemek için kamera erişimi, coğrafi konum izleme ve kapatma simülasyonu gibi ek özellikler kullanmış olabileceğini öne sürdü.
Temel casus yazılım işlevselliğinin Tcore Python paketinde yer aldığı belirlendi. ALIEN ve PREDATOR’un yerel kodu analiz edildi ve sonuçlar, casus yazılımın VOIP tabanlı uygulamalardan ve telefon görüşmelerinden gelen sesleri kaydedebildiğini gösteriyor.
Ek olarak, Signal, WhatsApp ve Telegram gibi en yaygın kullanılan programlardan bazılarından veri toplayabilir. Çevre birimi işlevselliği nedeniyle uygulamalar gizlenebilir ve bir cihaz yeniden başlatıldığında çalıştırılamaz.
Değerlendirmeye göre KMEM, çekirdek adres alanına keyfi okuma ve yazma erişimi sunuyor.
Şirket, “Alien sadece bir yükleyici değil, aynı zamanda bir yürütücüdür – birden çok iş parçacığı, Predator’dan gelen komutları okumaya ve bunları yürütmeye devam edecek ve casus yazılıma Android çerçeve güvenlik özelliklerinden bazılarını atlamak için araçlar sağlayacaktır” dedi.
Birleştirildiğinde, bu bileşenler bir dizi bilgi çalma, gözetleme ve uzaktan erişim yetenekleri sunar.
Talos, casus yazılımın her yönüne erişemez. Bu nedenle, bu yetenekler listesinin kapsamlı olması amaçlanmamıştır.
Casus yazılım bir Samsung, Huawei, Oppo veya Xiaomi ahizesinde çalışıyorsa, mağazaya sertifikalar ekleyebilir ve diskteki çeşitli dizinlerin içeriğini numaralandırabilir.
Casus yazılım, bir Python çalıştırma ortamı oluşturmadan önce bir ELF ikili dosyası olarak gelir.
Bu üreticilerin adlarından herhangi biri eşleşirse, aşağıdaki disk dizinlerinin içeriğini yinelemeli olarak sıralayacaktır:
Son düşünceler
Ticari casus yazılımların çoğu devletin kullanımı için yapılır ve NSO Group gibi şirketler, ürünlerini terörün önlenmesine, cezai soruşturmaya ve ulusal güvenliğin geliştirilmesine yardımcı olan teknolojinin bir parçası olarak tanıtırlar.
Ancak son yıllarda, güvenlik camiasının “paralı casus yazılım” olarak adlandırdığı bu casusluk cihazlarıyla ilgili etik ve yasal kaygılar su yüzüne çıktı.
Biden-Harris yönetimi, 27 Mart 2023’te, ABD hükümetinin ulusal güvenliği tehlikeye atabilecek veya hızlı yayılmaya yanıt olarak insan hakları ihlallerine yanıt olarak yabancı taraflarca istismar edilen ticari casus yazılımların kullanılmasını yasaklayan bir Başkanlık Emri yayınladı. Bu ürünlerin kötüye kullanılmasıyla ilgili artan endişe.
Cihaz Duruş Güvenliği ile Kimlik Avı Saldırılarını Durdurun – Ücretsiz E-Kitap İndirin