Önemli bulgular
- Eski Mısırlı milletvekili ve cumhurbaşkanı adayı Ahmed Eltantawy, başkanlık teklifini açıkladıktan sonra Cytrox’un Predator casus yazılımının hedefi oldu.
- Casus yazılımın SMS, WhatsApp mesajları ve ağ enjeksiyon saldırıları yoluyla iletilmesi, Eltantawy’ye karşı kullanılan gelişmiş taktiklerin altını çizdi.
- Araştırmacılar, Predator’ı iOS cihazlara yüklemek için kullanılan ve 16.6.1’e kadar olan sürümleri etkileyen bir iPhone sıfır gün istismar zinciri elde etti.
- Ağ enjeksiyon saldırısı, Mısır’da fiziksel olarak bulunan bir cihazdan kaynaklandığı için büyük bir güvenle Mısır hükümetine atfedildi.
- Bu vaka, casus yazılım teknolojilerinin dışa aktarımında kontrol eksikliğine ilişkin endişeleri artırıyor ve Apple cihazlarındaki güvenlik güncellemelerinin ve kilitleme modlarının öneminin altını çiziyor.
Citizen Lab tarafından yakın zamanda yapılan bir araştırmada, endişe verici bulgular eski Mısır Parlamento Üyesi Ahmed Eltantawy’nin Cytrox’un Predator casus yazılımını kullanan karmaşık bir siber casusluk kampanyasının kurbanı olduğunu ortaya koyuyor.
Bu hedefleme, Eltantawy’nin 2024 Mısır seçimlerinde Başkanlığa aday olma niyetini kamuoyuna açıklamasından kısa bir süre sonra, Mayıs ve Eylül 2023 arasında gerçekleşti.
Burada Cytrox’un Predator casus yazılımının başlangıçta Android cihazları hedef alarak keşfedildiğini belirtmekte fayda var. Mayıs 2022’de. Ancak Ağustos 2022’de Citizen Lab işaret etti casus yazılım ile Avrupalı casus yazılım satıcısı Intellexa Alliance arasında bir bağlantı.
O dönemde casus yazılım Yunanistan’da bir milletvekilini hedef almak için kullanılıyordu ve ilginç bir şekilde aynı firma daha önce de bunu yapmıştı. Kasım 2019’da manşetlere çıktı Kıbrıslı yetkililer Intellexa’ya ait bir gözetleme minibüsüne el koyduğunda. Bu gözetleme aracı, akıllı telefonları ele geçirebilen, kırabilen ve takip edebilen bilgisayar korsanlığı araçlarıyla donatılmıştı.
Eltantawy’ye karşı yürütülen kampanyada, kötü niyetli bağlantılar içeren SMS ve WhatsApp mesajları da dahil olmak üzere çeşitli taktikler kullanıldı. Üstelik Eltantawy’nin Vodafone Egypt ile olan mobil bağlantısı, ağ enjeksiyonu yoluyla hedefleme için ısrarla seçildi.
Eltantawy, HTTPS olmayan web sitelerini ziyaret ettiğinde, Vodafone Egypt ağındaki bir cihaz onu otomatik olarak kötü amaçlı bir web sitesine yönlendirerek telefonuna Cytrox’un Predator casus yazılımını bulaştırdı.
Vatandaş Laboratuvarı soruşturma Predator’ı iOS sürümlerine 16.6.1’e kadar yüklemek için tasarlanmış bir iPhone sıfır gün istismar zincirini ortaya çıkardı. Ayrıca, 2021’de elde edilen Cytrox Predator casus yazılımının bir örneğiyle önemli benzerlikler paylaşan casus yazılımın ilk aşamasını da elde ettiler. Citizen Lab, casus yazılımı Cytrox’un Predator casus yazılımına yüksek bir güvenle bağlıyor.
Cytrox’un Predator casus yazılımının müşterisi olan Mısır hükümetiyle bilinen ilişkisi ve casus yazılımın fiziksel olarak Mısır’da bulunan bir cihazdan ağ enjeksiyonu yoluyla dağıtıldığı gerçeği göz önüne alındığında, Citizen Lab ağ enjeksiyon saldırısını kendinden emin bir şekilde Mısır hükümetine atfediyor.
Bu Eltantawy’nin ilk hedef alınışı değil. Kasım 2021’de, bir Predator web sitesine bağlantı içeren bir kısa mesaj aracılığıyla telefonuna Cytrox’un Predator casus yazılımı bulaştı.
Bu ifşaatlar, demokratik bir süreçte muhalefet figürlerini hedef almak için casus yazılım kullanımına ilişkin ciddi kaygılara yol açıyor. Ahmed Eltantawy’nin vakası, güçlü siber güvenlik önlemlerine duyulan ihtiyacın ve seçim kampanyaları sırasındaki potansiyel tehditlere ilişkin farkındalığın artırılmasının altını çiziyor.
Apple, Citizen Lab’in Açıklamasının Ortasında Acil Durum Güncellemelerini Yayınladı
Citizen Lab’in bulgularına yanıt olarak Apple, iOS ve iPadOS için üç acil durum güncellemesi yayınladı (1)ve macOS Ventura (2). Güncellemeler aşağıdaki güvenlik açıklarını giderir:
Apple ayrıca araştırmacıların bulgularını da kabul etti ve belirtilmiş Şirketin, iOS 16.7’den önceki iOS sürümlerinde bu sorundan aktif olarak yararlanıldığını öne süren raporların farkında olduğu belirtildi.
Bu konuda yorum yapan, Dr.Klaus SchenkVerimatrix’in güvenlik ve tehdit araştırmalarından sorumlu kıdemli başkan yardımcısı şunları söyledi: “Apple’ın platformlarında keşfedilen güvenlik açıkları, potansiyel etkileri nedeniyle oldukça endişe verici. Ayrıcalık artışı, keyfi kod yürütme ve özellikle uzaktan istismar edilebilir keyfi kod yürütme, herhangi bir bilgi işlem sistemi için en tehlikeli sorunlar arasında yer alıyor.
Dr Klaus şunları vurguladı: “Apple’ın saldırı vektörlerinin teknik ayrıntılarını henüz açıklamamış olması güven verici. Tehdit aktörlerinin etkili saldırılar tasarlamak için daha az bilgiye sahip olması nedeniyle, bu bilgilerin gizli tutulması, yaygın istismar riskini önemli ölçüde azaltır. Uzaktan kod yürütmenin gerçekleşebilmesi için kullanıcının bu güvenlik açıklarından yararlanacak ve kötü amaçlı kod dağıtacak şekilde özel olarak hazırlanmış bir web sitesini ziyaret etmesi gerekir. Ayrıntılar açıklanmadığı için böyle bir saldırıyı gerçekleştirebilecek sitelerin sayısı şu anda muhtemelen çok düşük.”
“Bununla birlikte, Apple müşterilerinin kendilerini potansiyel hedefli saldırılara karşı korumak için bu acil durum güvenlik güncellemelerini derhal yüklemeleri gerekiyor. Tehdit aktörleri eninde sonunda altta yatan kusurları anlamak için düzeltmeleri tersine çevireceğinden yamaların zamanında uygulanması kritik öneme sahiptir. Kullanıcılar, güncellemeyi derhal yaparak, cihazlarının bu özel sıfır gün güvenlik açıklarından yararlanan saldırılar tarafından tehlikeye atılmamasını garanti altına alacaklarını tavsiye etti.” “İleriye dönük olarak, Apple’ın yazılımlarındaki güvenlik sorunlarını, kullanıcılara karşı silah olarak kullanılmadan önce tespit etmek ve düzeltmek için özenle çalışmaya devam etmesi çok önemli.”
Bu, Citizen Lab’in Apple cihazlarını hedef alan karmaşık bir casus yazılım kampanyasını bir ay içinde ikinci kez tespit ettiği anlamına geliyor. 7 Eylül 2023’teApple, NSO Group’un Pegasus casus yazılımını aktif olarak iPhone’lara dağıtan sıfır tıklama güvenlik açığını gidermek için kritik bir güvenlik güncellemesi yayınladı. Bu açıklamalar ilk olarak saldırıyı bir BLASTPASS operasyonu olarak sınıflandıran Citizen Lab tarafından rapor edilmişti.
Çözüm
Citizen Lab’ın bulguları aynı zamanda güncel yazılımları korumanın ve Apple cihazlarında Kilitleme Modu gibi güvenlik özelliklerini etkinleştirmenin önemine de ışık tutuyor. Bireyleri siber tehditlerden korumada güvenlik önlemlerinin oynadığı kritik rolü vurguluyorlar.
Ayrıca rapor, insan haklarını ihlal etmek amacıyla kötüye kullanılabilecek teknolojilerin ihracatına ilişkin kontrollerin artırılması çağrısında bulunuyor. Özellikle merkezi Kanada’da bulunan şirketlerin dahil olduğu durumlarda, çift kullanımlı teknoloji ihracatının düzenlenmesinde daha fazla şeffaflık ve hesap verebilirlik ihtiyacının altını çiziyor.
Siber tehditlerin giderek daha karmaşık hale geldiği bir dünyada, bu bulgular dijital güvenliğin önemini ve yetersiz önlemlerin potansiyel sonuçlarını net bir şekilde hatırlatıyor.
İLGİLİ MAKALELER
- QuaDream: iPhone Hacklerinin Arkasındaki İsrailli Siber Paralı Asker
- Apple AirTags, kimlik bilgilerinin hacklenmesinde truva atı olarak kullanılabilir
- İsrail casus yazılımı küresel çapta gazetecilerin telefonlarını hacklemek için kullanılıyor
- Gelişmiş Pegasus Casus Yazılımının Android Sürümü Keşfedildi
- İsrailli Casus Yazılım Satıcısı Gazetecileri Hedef Almak İçin Chrome 0day’i Kullanıyor