Google, Rus devlet bilgisayar korsanları ile casus yazılım şirketleri NSO Group ve Intellexa tarafından oluşturulanlara “özdeş veya çarpıcı biçimde benzer” nitelikteki istismarlar arasında bir bağlantı tespit etti. Bu durum, ticari casus yazılımların devlet destekli tehdit aktörlerinin eline geçmesi konusunda endişelere yol açtı.
Google, bir blog yazısında bu istismarları keşfettiğini açıkladı ancak Rus hükümetinin bunları nasıl elde ettiğine dair belirsizlik olduğunu kabul etti. Google’a göre bu olay, özel şirketler tarafından geliştirilen casus yazılımların son derece “tehlikeli tehdit aktörlerinin” eline geçmesi durumunda ortaya çıkan riskleri gösteriyor.
APT29 olarak bilinen hackerlar, Rusya’nın Dış İstihbarat Servisi (SVR) ile bağlantılıdır. Bu grubun, Microsoft ve SolarWinds gibi teknoloji şirketleri ve çeşitli hükümet kuruluşları da dahil olmak üzere yüksek profilli hedeflere karşı siber casusluk ve veri hırsızlığı operasyonları yürütme konusunda iyi belgelenmiş bir geçmişi vardır.
iPhone ve Android Cihazlarda Sulama Deliği Saldırıları
Google’ın araştırması, kötü amaçlı kodun Kasım 2023’ten Temmuz 2024’e kadar Moğolistan hükümet web sitelerine yerleştirildiğini buldu. Bu süre zarfında, iPhone veya Android cihazlar kullanan bu sitelere gelen ziyaretçilerin cihazları tehlikeye atılmış ve “sulama deliği” olarak bilinen bir saldırı türünde şifreler gibi kişisel veriler çalınmış olabilir.
Sulama deliği saldırıları, saldırganların site ziyaretçilerini enfekte etmek için meşru web sitelerini tehlikeye attıkları bir taktiktir.
Saldırganlar, iPhone’lardaki Safari tarayıcısındaki ve Android’deki Google Chrome’daki güvenlik açıklarından yararlandı; her ikisi de Rus saldırısı başlamadan önce yamalanmıştı. Ancak, güncellenmemiş cihazlar savunmasız kalmaya devam etti.
iPhone saldırısı özellikle endişe vericiydi çünkü Safari’den çerezleri yakalamak için tasarlanmıştı ve özellikle Moğolistan hükümet yetkilileri tarafından kullanılan çevrimiçi e-posta sağlayıcıları tarafından barındırılan hesapları hedef alıyordu. Bu çerezlere erişimle saldırganlar potansiyel olarak bu hesaplara sızabilirdi. Benzer şekilde, Android cihazlara yönelik saldırı Chrome tarayıcısında depolanan çerezleri çıkarmak için iki ayrı saldırı kullandı.
Moğol Seferi’nin Kısa Özeti
Sulama yeri saldırıları Moğol hükümetinin web sitelerini tehlikeye attı dolap[.]hükümet[.]dakika Ve güzel sanatlar yüksek lisansı[.]hükümet[.]dakikaBu siteler saldırganların kontrolündeki etki alanlarından gizli bir iframe yükledi.
Kampanyaların hedefi:
- Kasım 2023 ile Şubat 2024 arasındaki iOS Kullanıcıları: 16.6.1’den eski iOS sürümlerini çalıştıran cihazları etkileyen bir WebKit açığı (CVE-2023-41993). Bu açık, TAG tarafından 2021’de şüpheli bir APT29 kampanyasında gözlemlenen bir çerez çalma çerçevesi sağladı. Hedeflenen web siteleri arasında web posta hizmetleri ve sosyal medya platformları yer aldı.
- Google Chrome kullanan Android kullanıcıları (Temmuz 2024): CVE-2024-5274 ve CVE-2024-4671 güvenlik açıklarını hedef alan bir Chrome istismar zinciri. Bu zincir, saldırganların çerezlerin ötesinde daha geniş bir veri yelpazesini çalmasına olanak tanıyan Chrome’un Site İzolasyon korumasını atlatmak için bir sanal alan kaçış istismarını içeriyordu.
Benzerlikleri Kullanın
Sulama deliği saldırılarında kullanılan iOS istismarı, Intellexa tarafından Eylül 2023’te kullanılan bir istismarı yansıtıyordu. Her iki istismar da aynı tetikleyici kodunu ve istismar çerçevesini paylaşıyordu ve bu da olası ortak bir kaynak olduğunu gösteriyordu. Ek olarak, Chrome istismar zinciri, Intellexa tarafından 2021’de kullanılan bir sandbox kaçış istismarında gözlemlenenlere benzer teknikleri içeriyordu.
‘Çarpıcı Şekilde Benzer’ Casus Yazılım Bir Gizemi Açığa Çıkarıyor
Blog yazısının yazarı olan Google güvenlik araştırmacısı Clement Lecigne, Rus bilgisayar korsanlarının kesin hedeflerinin henüz bilinmemekle birlikte, saldırının yeri ve tipik ziyaretçilerin, Moğolistan hükümet çalışanlarının hedefte olma ihtimalini artırdığını açıkladı.
Google’ın devlet destekli siber tehditleri araştırma konusunda uzmanlaşmış Tehdit Analizi Grubu’nun bir üyesi olan Lecigne, istismar kodunun yeniden kullanımının Rus müdahalesine işaret ettiğini belirtti. Aynı çerez çalma kodu, APT29 tarafından 2021’de yapılan önceki bir kampanyada gözlemlenmişti.
Ancak Rus hackerların başlangıçta exploit koduna nasıl eriştiğinin ardındaki gizem çözülemedi. Google, Moğol saldırılarında kullanılan kodun, tamamen güncellenmiş iPhone’ları ve Android cihazları bile ihlal edebilen casus yazılımlar oluşturmalarıyla tanınan NSO Group ve Intellexa şirketleri tarafından geliştirilen exploit’lerle yakından eşleştiğini bildirdi.
Google, Android açığının NSO Group’tan gelen bir açıkla “çok benzer bir tetikleyiciyi” paylaştığını, iPhone açığının ise Intellexa’dan gelen bir açıkla “tam olarak aynı tetikleyiciyi” kullandığını vurguladı ve bu durumun açık yazarları veya sağlayıcıları ile Rus bilgisayar korsanları arasında güçlü bir bağlantı olduğunu öne sürdü.
‘NSO Rusya’ya Satmıyor’
Google’ın iddiaları, Rusya ile özel casus yazılım satıcıları arasında bir örtüşme ve potansiyel bağlantılar olduğunu gösterirken, NSO Group bu bağlantıları reddetti. NSO Group’ta Küresel İletişim Başkan Yardımcısı Gil Lainer, şunları söyledi: Siber Ekspres“NSO ürünlerini Rusya’ya satmıyor.”
“Teknolojilerimiz yalnızca ABD ve İsrail müttefiki istihbarat ve kolluk kuvvetlerine satılmaktadır. Sistemlerimiz ve teknolojilerimiz son derece güvenlidir ve dış tehditleri tespit etmek ve etkisiz hale getirmek için sürekli olarak izlenmektedir.”
NSO grubunun müşterileri daha önce hem ABD hem de İsrail tarafından araştırılmış ve yakından takip edilmişti.