Yeni araç, iPhone’ları ‘Nirengi’ kötü amaçlı yazılım bulaşması için tarar

Siber güvenlik firması Kaspersky, Apple iPhone’lara ve diğer iOS cihazlarına yeni bir ‘Üçgenleştirme’ kötü amaçlı yazılımının bulaşıp bulaşmadığını tespit etmek için bir araç yayınladı.

Bu kötü amaçlı yazılım, Kaspersky tarafından kendi ağında keşfedildi ve en az 2019’dan beri dünya çapındaki tesislerinde birden fazla iOS cihazına bulaştığını bildirdi.

Kötü amaçlı yazılım analizi halen devam ediyor olsa da siber güvenlik firması, “Operation Triangulation” kötü amaçlı yazılım kampanyasının, kullanıcı etkileşimi ve yükseltilmiş ayrıcalıklar olmadan kod yürütme gerçekleştirmek için iMessage’da bilinmeyen bir sıfır gün açığı kullandığını belirtti.

Bu, saldırının daha fazla komut yürütme ve bilgi toplama için cihaza daha fazla yük indirmesine izin verir.

Rusya’nın istihbarat ve güvenlik servisi FSB’nin kötü amaçlı yazılımı üst düzey hükümet yetkilileri ve yabancı diplomatların bulaşmasına bağladığı da unutulmamalıdır.

Orijinal raporda Kaspersky, Mobil Doğrulama Araç Kiti’ni (MVT) kullanarak bu bilinmeyen kötü amaçlı yazılımın olası risk göstergelerine karşı iOS cihaz yedeklemelerini manuel olarak kontrol etme hakkında epeyce ayrıntı sağladı.

Ancak, güvenlik firması artık hem Windows hem de Linux için kullanımı daha kolay, otomatikleştirilmiş bir Nirengi Tarayıcısı yayınladı.

Üçgen iOS tarayıcı

Apple’ın çeşitli güvenlik mekanizmaları (korumalı alan, veri şifreleme, kod imzalama) canlı sistem analizini engellediğinden, iOS yalnızca yedek olarak analiz edilebilir.

Bu nedenle, kullanıcıların öncelikle işletim sistemlerine bağlı olarak aşağıdaki adımları izleyerek iOS cihazlarını yedeklemeleri gerekir:

Pencereler:

1. Cihazınızı iTunes’un yüklü olduğu bir bilgisayara bağlayın. Cihazınızın kilidini açın ve gerekirse bilgisayarınıza güvendiğinizi onaylayın.
2. Cihazınız şimdi iTunes’da görüntülenmelidir. Üzerine sağ tıklayın ve “Yedekle” ye basın.
3. Oluşturulan yedekleme, %appdata%\Apple Computer\MobileSync\Yedekleme dizinine kaydedilecektir.

Mac os işletim sistemi:

1. Cihazınızı bilgisayara bağlayın ve gerekirse bilgisayara güvendiğinizi onaylayın.
2. Cihazınız şimdi Finder’da görüntülenmelidir. Seçin ve ardından “Yedek oluştur”u tıklayın.
3. Oluşturulan yedekleme ~/Library/Application Support/MobileSync/Backup/ dizinine kaydedilecektir.

Linux:

1. “libimobiledevice” kitaplığını kurun.
2. Cihazınızı bilgisayara bağlayın ve “idevicebackup2 backup –full” komutunu kullanarak bir yedekleme oluşturun.
3. Yedekleme işlemi sırasında sizden istendiği gibi cihazınızın şifresini girin.

Bir sonraki adım, iOS yedeklemelerini analiz etmek için Kaspersky’nin “triangle_check” tarayıcısını kullanmaktır.

Kaspersky, tarayıcıyı Windows ve Linux için ikili derlemeler ve PyPI aracılığıyla sağlanan çapraz platform Python paketi olarak piyasaya sürdü.

Python paketi:

1. Aşağıdaki komutu kullanarak PyPI’den ‘triangle_check’ alın: python -m pip install Triangle_check
2. Alternatif olarak, araç aşağıdakileri çalıştırarak GitHub’dan derlenebilir:
3. git klonu https://github.com/KasperskyLab/triangle_check
4. cd üçgen_kontrol
5. piton -m yapı
6. python -m pip kurulum dist/triangle_check-1.0-py3-none-any.whl

Bundan sonra, aracı başlatmak için bu komutu kullanın: oluşturulan yedeklemeye giden python -m üçgen_kontrol yolu.

Windows ikili:

Windows ikili dosyası, Kaspersky’nin genel GitHub deposundan edinilebilir. Kullanmak için şu talimatları izleyin:

1. GitHub sürümler sayfasından üçgen_check_win.zip arşivini indirin ve paketinden çıkarın.
2. Komut istemini (cmd.exe) veya PowerShell’i başlatın.
3. Dizininizi, paketi açılmış arşivle değiştirin (örn. cd %userprofile%\Downloads\triangle_check_win).
4. Yedeklemenin yolunu bağımsız değişken olarak belirterek, üçgen_check.exe’yi başlatın (ör., üçgen_check.exe “%appdata%\Apple Computer\MobileSync\Backup\00008101-000824411441001E-20230530-143718”).

Linux ikili:

Linux ikili dosyası, Kaspersky’nin genel GitHub deposundan edinilebilir. Kullanmak için şu talimatları izleyin:

1. GitHub sürümler sayfasından üçgen_check_win.zip arşivini indirin ve paketinden çıkarın.
2. Terminali başlatın.
3. Dizininizi, paketi açılmış arşivle değiştirin (örneğin, cd ~/Downloads/triangle_check_linux).
4. Yardımcı programın “chmod +x üçgen_kontrol” komutuyla yürütülmesine izin verin.
5. Yedeklemenin yolunu bağımsız değişken olarak belirterek yardımcı programı başlatın (örn. ./triangle_check ~/Desktop/my_backup/00008101-000824411441001E-20230530-143718).

Başlatıldığında ve iOS yedekleme yoluna işaret edildiğinde, üçgen_kontrol aracı aşağıdaki tarama sonuçlarından birini verir:

• SAPTANMIŞ: Bu, “Operation Triangulation” kötü amaçlı yazılımının cihaza şüphesiz bulaştığı anlamına gelir.
• ŞÜPHE: Tarayıcı, olası bir bulaşmaya işaret eden bazı uzlaşma göstergeleri buldu, ancak kesin bir sonucu destekleyecek yeterli kanıt yok.
• Hiçbir uzlaşma izi tespit edilmedi: Tarayıcı, belirli bir kötü amaçlı yazılım ailesi için herhangi bir güvenlik ihlali belirtisi tespit etmedi.

Yukarıdaki sonuçlara, özellikle olumsuz olanlara, tamamen güvenilir olmayabileceğini veya cihazın temiz olduğuna dair kesin güvenceler olarak değerlendirilmeyebileceğini unutmayın.

Kötü amaçlı yazılımın analizi devam ederken, ek risk göstergeleri ve hatta daha yeni iOS sürümlerini etkileyen daha yeni bir değişken daha sonra keşfedilebilir.

Hedefli bir kötü amaçlı yazılım kampanyası

Tipik olarak, “Operation Triangulation” gibi casusluk odaklı kötü amaçlı yazılım dağıtım kampanyaları, daha geniş bir nüfus yerine belirli bireyleri veya şirketleri hedefler, bu nedenle denetleyiciyi kullanan çoğu kişi temiz bir sonuç almalıdır.

Ancak Kaspersky’nin aracı, önemli kuruluşlarda kritik roller üstlenen kişiler, devlet destekli casusluk riski yüksek kişiler ve bilgi merkezi görevi gören şirketlerde veya hizmetlerde çalışanlar için kullanışlı olabilir.

Şu anda, kötü amaçlı yazılımın tam kaynağı ve Operasyon Üçgeni’ni yönetenler bilinmiyor; bu nedenle, hedefleme kapsamı ve mağduriyet belirlenmemiştir.