Siber Savaş / Ulus Devlet Saldırıları , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
Casus Yazılım Ses Kaydedebilir, Fotoğraf Çekebilir, Konumları İzleyebilir ve Parolaları Çalabilir
David Perera (@daveperera) •
11 Nisan 2023
Citizen Lab ve Microsoft’tan araştırmacılar, düşük profilli bir İsrailli gelişmiş casus yazılım firmasının, birden fazla kıtadaki gazetecilerin, siyasi muhalefet figürlerinin ve bir sivil toplum kuruluşu çalışanının hayatını gözetlemek için şüpheli bir sıfır gün kullandığını söylüyor.
Ayrıca bakınız: Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
Araştırmacılar, Salı günü açıklanan raporlarda, QuaDream tarafından geliştirilen ve “Reign” olarak pazarlanan yazılımın ses kaydedebildiğini, fotoğraf çekebildiğini, konum izleyebildiğini ve şifreleri çalabildiğini söylüyor. En az 10 ülkeden hükümetlerin müşteri olduğunu söylüyorlar.
Citizen Lab, kanıtların, bilgisayar korsanlarının Apple mobil işletim sisteminde EndOfDays olarak adlandırdığı ve 2021’in en azından ilk birkaç ayında yama uygulanmayan bir sıfır-tıklama sıfır-gününü istismar ettiğini gösterdiğini söyledi. Microsoft, ilişkili olduğunu söylediği 200’den fazla web alanını ifşa etti. QuaDream kötü amaçlı etkinlik. Gelişmiş tehditlere yönelik bir soruşturmanın parçası olarak, kötü amaçlı yazılım örneklerini Citizen Lab ile paylaştı.
Bir Apple sözcüsü, 26 Mart 2021’de bir iOS güncellemesi yayınladığından beri EndOfDays istismarının kullanılabileceğine dair bir gösterge olmadığını söyledi.
Microsoft ve Apple dahil olmak üzere büyük teknoloji firmaları, çok daha ünlü İsrail firması NSO Group da dahil olmak üzere ticari gözetim gruplarına karşı halka açık kampanyalar yürüttüler. Microsoft, yaklaşık üç düzine bilinen küresel akıllı telefon casus yazılımı satıcısını “siber paralı askerler” olarak nitelendiriyor. Microsoft siber güvenlik başkanı Amy Hogan-Burney, “Güvenlik açıklarını stokluyorlar ve ağlara yetkisiz erişim için yeni yollar arıyorlar. Eylemleri yalnızca hedefledikleri kişiyi etkilemekle kalmıyor, aynı zamanda tüm ağları ve ürünleri yeni saldırılara açık ve savunmasız bırakıyor” diye yazdı. politika ve koruma, bir blog gönderisinde.
ABD hükümeti, son olarak federal kurumların lisans alma kabiliyetini önemli ölçüde sınırlayan bir Beyaz Saray yürütme emriyle sektör üzerindeki düzenleyici baskıyı artırdı (bkz: ABD, Gelişmiş Akıllı Telefon Casus Yazılımlarının Hükümet Kullanımını Sınırlıyor). Bir Avrupa Parlamentosu komitesi teknolojinin kullanımını araştırıyor, ancak bazı üyeler üyelerin hükümetlerini duvar örmekle ve Avrupa Komisyonu’nu suç ortaklığı yapmakla suçladı (bakınız: Gelişmiş Casus Yazılımların Yayılmasında AB Suç Ortağı, Charges Veld).
Citizen Lab, QuadDream’in “en az kamu varlığıyla çalıştığını” söyledi. Şirketin bir web sitesi yok ve Reuters 2022’de çalışanlara sosyal medyada işverenlerinden bahsetmemeleri söylendiğini bildirdi. Şirketle ilgili bazı bilgiler, QuaDream’in Kıbrıs’a kayıtlı InReach adlı bir şirketle yaşadığı hukuki anlaşmazlıkta gün ışığına çıktı. Citizen Lab, InReach’in ihracat kontrollerinden kaçınmanın bir yolu olarak tasarlanan iki şirket arasındaki ortaklıkla lisansları uluslararası olarak dağıttığını söyledi. İsrail gazetesi Haaretz, QuaDream ve InReach bağlantısını ilk kez 2021’de bildirdi.
Citizen Lab, Reign kötü amaçlı yazılımının, kaldırıldıktan sonra virüslü cihazlarda kalıntı bırakabileceğini söyledi. Araştırmacılar izleri “Ektoplazma Faktörü” olarak adlandırıyor, ancak gelecekteki enfeksiyonları tespit etmek için kullanılabilecekleri için teknik göstergeleri ifşa etmeyeceklerini söylediler. Kuzey Amerika, Orta Asya, Güneydoğu Asya, Avrupa ve Orta Doğu’da bulunan en az beş kurban tespit ettiler. Reign operatörlerinin Bulgaristan, Çek Cumhuriyeti, Macaristan ve Romanya’nın yanı sıra Gana, İsrail, Meksika, Singapur, Birleşik Arap Emirlikleri ve Özbekistan da dahil olmak üzere Avrupa’da bulunduğu görüldü.
EndOfDays’i dağıtan devlet bilgisayar korsanları, virüslü akıllı telefonlardan görünmez iCloud takvim davetleri aracılığıyla yararlanır. Kötü amaçlı yazılım, düzenleyici olarak listelenen belirli bir e-posta adresiyle ilişkili takvim etkinliklerini silerek varlığına dair kanıtları temizleyen kod içeriyordu. Ayrıca, cihazın iMessenger gibi belirli Apple hizmetlerini kullanarak etkileşimde bulunduğu iCloud hesaplarının kaydını da kaldırdı.