Google’ın Tehdit Analizi Grubundan (TAG) araştırmacılar, casus yazılım dağıtmak için hem iPhone hem de Android akıllı telefon kullanıcılarına karşı çeşitli, yama uygulanmamış sıfır gün açıklarından yararlanan iki ayrı, yüksek hedefli kampanya keşfettiler.
Araştırmacılar, 29 Mart’ta bir blog gönderisinde açıklanan keşiflerin, Google TAG’ın ticari casus yazılım satıcılarını aktif olarak izlemesinin bir sonucu olduğunu ve bunların 30’dan fazlasının şu anda radar ekranında olduğunu söyledi. Araştırmacılar, bu satıcılar, devlet destekli tehdit aktörlerine açıklardan yararlanma veya gözetleme yetenekleri satarak “tehlikeli bilgisayar korsanlığı araçlarının çoğalmasını sağlayarak, bu yetenekleri şirket içinde geliştiremeyecek hükümetleri silahlandırıyor” diye yazdı. Bunlar genellikle muhalifleri, gazetecileri, insan hakları çalışanlarını ve muhalefet partisi politikacılarını potansiyel olarak yaşamı tehdit edecek şekilde hedef almak için kullanılıyor.
Gözetleme teknolojilerinin kullanımı şu anda çoğu ulusal veya uluslararası yasa kapsamında yasaldır ve hükümetler bu yasaları ve teknolojileri kendi gündemleriyle uyuşmayan bireyleri hedef almak için kötüye kullanmıştır. Bununla birlikte, hükümetlerin NSO Group’un Pegasus mobil casus yazılımını iPhone kullanıcılarını hedef almak için kötüye kullandığının açığa çıkması nedeniyle bu suiistimal uluslararası inceleme altına alındığından beri, düzenleyiciler ve satıcılar benzer şekilde ticari casus yazılımların üretimi ve kullanımı konusunda sert önlemler alıyorlar.
Aslında, 28 Mart’ta Biden yönetimi, casus yazılımları tamamen yasaklamaya yetmeyen, ancak federal hükümet tarafından ticari gözetim araçlarının kullanımını kısıtlayan bir yürütme emri yayınladı.
Google’ın bu haftaki bulguları, bu çabaların ticari casus yazılım sahnesini engellemek için çok az şey yaptığını gösteriyor ve “ticari gözetleme sağlayıcılarının, tarihsel olarak yalnızca istismarları geliştirmek ve operasyonel hale getirmek için teknik uzmanlığa sahip hükümetler tarafından kullanılan yeteneklerin ne ölçüde çoğaldığının altını çiziyor”, TAG araştırmacıları yazıda yazdı.
Araştırmacılar özellikle, mobil cihazlardaki Android, iOS ve Chrome kullanıcılarını hedefleyen iki “farklı, sınırlı ve yüksek oranda hedeflenmiş” kampanya olarak nitelendirdiklerini keşfettiler. Her ikisi de sıfır günlük istismarları ve n günlük istismarları kullanır. Araştırmacılar, ikincisiyle ilgili olarak, kampanyaların, satıcıların güvenlik açıkları için düzeltmeler yayınladığı zaman ile donanım üreticilerinin son kullanıcı cihazlarını bu yamalarla gerçekten güncelleyerek yama uygulanmamış platformlar için istismarlar oluşturduğu zaman arasındaki süreden özellikle yararlandığını söyledi.
TAG’a göre bu, açıklardan yararlananların kötü amaçlarla yararlanabilecekleri güvenlik açıklarını yakından takip ettiklerini ve muhtemelen bunları hedeflenen cihazları tehlikeye atmak için kullanma potansiyelini en üst düzeye çıkarmak için gizli anlaşmalar yaptıklarını gösteriyor. Araştırmacılar gönderide, kampanyaların ayrıca gözetleme yazılımı satıcılarının tehlikeli bilgisayar korsanlığı araçlarının çoğalmasını sağlamak için açıkları ve teknikleri paylaştığını öne sürdüğünü yazdı.
iOS/Android Casus Yazılım Kampanyası
Araştırmacıların özetlediği ilk kampanya, Kasım ayında keşfedildi ve her biri en az bir sıfır gün kusuru olmak üzere iOS’ta iki ve Android’de üç güvenlik açığından yararlanıyor.
Araştırmacılar, İtalya, Malezya ve Kazakistan’da bulunan kullanıcılara SMS yoluyla gönderilen bit.ly bağlantılarıyla teslim edilen hem Android hem de iOS cihazlarını etkileyen ilk erişim girişimleri bulduklarını söylediler. Araştırmacılar, bağlantıları, ziyaretçileri Android veya iOS için açıkları barındıran sayfalara yönlendirdi, ardından onları “İtalyan merkezli nakliye ve lojistik şirketi BRT’nin gönderilerini takip eden bir sayfa veya popüler bir Malezya haber sitesi gibi” meşru web sitelerine yönlendirdi. posta.
iOS istismar zinciri, 15.1’den önceki sürümleri hedef aldı ve CVE-2022-42856 olarak izlenen bir WebKit uzaktan kod yürütme (RCE) kusuru için bir istismar içeriyordu, ancak istismar anında sıfır gündü. Bu, JIT derleyicisinde bir tür karışıklığı sorunu içeriyor, açıklardan yararlanma, Mart 2022’de Apple tarafından düzeltilen bir PAC baypas tekniği kullandı. Saldırı ayrıca, Apple tarafından iOS 15.1’de düzeltilen ve CVE-2021-30900 olarak izlenen AGXAccelerator’daki bir sanal alandan kaçış ve ayrıcalık yükseltme hatasından da yararlandı.
Araştırmacılar, iOS kampanyasının son yükünün, cihazın GPS konumunu geri bildiren ve ayrıca saldırganın etkilenen telefona bir .IPA dosyası (iOS uygulama arşivi) yüklemesine izin veren basit bir hazırlayıcı olduğunu söyledi. Bu dosya bilgi çalmak için kullanılabilir.
Araştırmacılar, kampanyadaki Android istismar zincirinin, 106’dan önceki Chrome sürümlerini çalıştıran bir ARM GPU kullanan cihazlardaki kullanıcıları hedeflediğini söyledi. Üç güvenlik açığından yararlanıldı: CVE-2022-3723, Chrome’da geçen Ekim ayında 107.0.5304.87 sürümünde giderilen bir tür karışıklığı güvenlik açığı, CVE-2022-4135, yalnızca sıfır gün olan Android’i etkileyen bir Chrome GPU korumalı alan bypass’ı Kasım ayında istismar edildiğinde ve düzeltildiğinde ve geçen Ağustos ayında ARM tarafından düzeltilen bir ayrıcalık yükseltme hatası olan CVE-2022-38181.
Özellikle ARM ve CVE-2022-38181’e saldırmanın önemi, bu kusur için düzeltme ilk kez yayınlandığında, aralarında Pixel, Samsung, Xiaomi ve Oppo’nun da bulunduğu birkaç satıcının yamayı dahil etmemesi ve saldırganlara birkaç ay ücretsiz olarak izin vermesidir. Araştırmacılar, hatayı kötüye kullandığını söyledi.
Samsung Tarayıcı Siber Casusluk Kampanyası
Google TAG araştırmacıları, Samsung İnternet Tarayıcısının en son sürümünü hedeflemek için hem sıfır gün hem de n gün kullanan eksiksiz bir açıklardan yararlanma zincirini içeren ikinci kampanyayı Aralık ayında keşfetti. Araştırmacılar, tarayıcının Chromium 102’de çalıştığını ve saldırganların istismarı gerçekleştirmek için ek çalışma yapmasını gerektirecek son azaltmaları içerecek şekilde güncellenmediğini söyledi.
Araştırmacılar, saldırganların açıkları Birleşik Arap Emirlikleri’nde (BAE) bulunan cihazlara SMS yoluyla gönderilen tek seferlik bağlantılarda teslim ettiğini söyledi. Bağlantı, kullanıcıları ticari casus yazılım satıcısı Variston tarafından geliştirilen Heliconia çerçevesinde bulunanla aynı bir açılış sayfasına yönlendirdi.
Araştırmacılar, bu durumda istismarın yükünün, çeşitli sohbet ve tarayıcı uygulamalarından verilerin şifresini çözmek ve yakalamak için kitaplıklar içeren C++ tabanlı, “tam özellikli bir Android casus yazılım paketi” olduğunu yazdı. İlgili aktörün Variston’ın bir müşterisi, ortağı veya başka bir şekilde yakın üyesi olabileceğinden şüpheleniyorlar.
Zincirde istismar edilen kusurlar şunlardı: CVE-2022-4262, istismar sırasında sıfır gün olan Chrome’da bir tür karışıklığı güvenlik açığı, CVE-2022-3038, Haziran 2022’de sürüm 105’te düzeltilen Chrome’da bir sanal alan kaçışı, CVE- 2022-22706, Ocak 2022’de ARM tarafından giderilen Mali GPU Çekirdek Sürücüsünde bir güvenlik açığı ve o sırada sıfır günlük olan çekirdek okuma ve yazma erişimi sağlayan Linux çekirdek ses alt sisteminde bir yarış durumu güvenlik açığı olan CVE-2023-0266 sömürünün.
Araştırmacılar, Google’ın ARM ve Samsung’a bildirdiği “Açıklama zinciri, CVE-2022-22706 ve CVE-2023-0266’dan yararlanırken sıfır günde birden fazla çekirdek bilgi sızıntısından da yararlandı” diye yazdı.
Casus Yazılımları Sınırlandırma ve Mobil Kullanıcıları Koruma
TAG araştırmacıları, cihaz kullanıcılarının kampanyalar tarafından hedef alınıp alınmadığını anlamalarına yardımcı olmak için bir uzlaşma göstergeleri (IoC) listesi sağladı. Ayrıca, satıcılar ve kullanıcılar için güvenlik açıkları ve/veya istismarlar keşfedildikten sonra mobil cihazlarını en son yamalarla mümkün olan en kısa sürede güncellemelerinin ne kadar önemli olduğunu vurguladılar.
Google TAG araştırmacıları, Dark Reading tarafından sorulan sorulara yanıt olarak, “Buradaki büyük çıkarım, tamamen güncellenmiş cihazlarda tamamen güncellenmiş yazılım kullanmak olacaktır.” “Bu durumda, açıklanan istismar zincirlerinden hiçbiri işe yaramazdı.”