İsrailli casus yazılım üreticisi NSO Group, Citizen Lab’ın son bulgularına göre Apple tarafından oluşturulan savunmalara sızmak ve Pegasus’u dağıtmak için 2022’de iPhone’lara karşı en az üç yeni “sıfır tıklama” saldırısı gerçekleştirdi.
Toronto Üniversitesi merkezli disiplinler arası laboratuvar, “NSO Group müşterileri, dünya çapında sivil toplum hedeflerine karşı en az üç iOS 15 ve iOS 16 sıfır tıklama istismar zincirini yaygın olarak kullandı” dedi.
NSO Group, bir cihazda depolanan hassas bilgileri (örneğin mesajlar, konumlar, fotoğraflar ve arama kayıtları gibi) gerçek zamanlı olarak çıkarabilen sofistike bir siber silah olan Pegasus’un üreticisidir. Genellikle sıfır tıklama ve / veya sıfır günlük istismarlar kullanılarak hedeflenen iPhone’lara gönderilir.
Kolluk kuvvetlerinin çocuk cinsel istismarı ve terörizm gibi ciddi suçlarla mücadele etmeleri için bir araç olarak sunulurken otoriter hükümetler tarafından insan hakları savunucularına, demokrasi savunucularına, gazetecilere, muhaliflere ve diğerlerine casusluk yapmak için yasadışı olarak da kullanıldı.
Pegasus’un kötüye kullanılması ABD hükümetini 2021’in sonlarında NSO Group’u ticaret engelleme listesine eklemeye sevk etti ve Apple, kullanıcılarını hedef aldığı için şirkete karşı kendi başına bir dava açtı.
Temmuz 2022’de casus yazılımın, Ekim 2020 ile Kasım 2021 arasında ülkenin demokrasi yanlısı protestolarında yer alan Taylandlı aktivistlere karşı KISMET ve FORCEDENTRY adlı iki sıfır tıklama istismarı kullanılarak kullanıldığı ortaya çıktı.
İlginizi çekebilecek yazımız.
İlgili Yazı: İran Destekli Hackerlar ABD Enerji Altyapısını Hedef Aldı
Citizen Lab tarafından ortaya çıkarılan son siber saldırının hedeflerinden ikisi, Meksika Ordusunun yargısız infaz ve kayıplarının kurbanlarını temsil eden Centro prodh’dan insan hakları savunucularını içeriyor. İzinsiz telefonlara sızılan saldırılar Haziran 2022’de gerçekleşti.
Bu, cihazlara nüfuz etmek ve nihayetinde Pegasus’u başlatmak için iOS 15 ve iOS 16’daki çeşitli kusurları sıfır gün olarak silahlandıran LATENTİMAGE, FİNDMYPWN ve PWNYOURHOME adlı üç farklı istismar zincirinin kullanıldı.
- LATENTIMAGE (iOS sürüm 15.1.1, Ocak 2022’de algılandı) – iPhone’un Benim özelliğimi Bul özelliğini kullanılan istismar.
- FINDMYPWN (Haziran 2022’de algılanan iOS 15.5 ve 15.6 sürümleri) – İşlevselliğimi Bul ve imessage’ı kullanan iki aşamalı bir istismar
- PWNYOURHOME (iOS sürüm 16.0.3, Ekim 2022’de algılandı) – blastdoor’u atlamak için iphone’larda ve imessage’da yerleşik HomeKit işlevselliğini birleştiren iki aşamalı bir istismar
Cesaret verici bir işarette Citizen Lab, PWNYOURHOME saldırısını engelleme girişiminde bulunmak için Kilitleme Modunun devreye girdiğine dair kanıtlar bulduğunu ve kullanıcıları Gmail ve Yahoo! ile bilinmeyen tarafları engellediği konusunda uyardığını söyledi. “bir Eve erişmeye çalışmaktan hesaplar.”
Geliştirme, iPhone’un saldırı yüzeyini azaltmak için tasarlanan Kilitleme Modunun birisini bir uzlaşmadan başarıyla koruduğu, kamuya açık olarak belgelenmiş ilk örneği işaret ediyor.
Citizen Lab, NSO Group’un “parmak izi Kilitleme Modu gibi bildirim sorununu düzeltmenin bir yolunu bulmuş olabileceğine dikkat çekti.” Apple o zamandan beri iOS 16.3.1’de homekit’e birkaç güvenlik iyileştirmesi gönderdi ve Kasım ve Aralık 2022 ve Mart 2023’te hedeflenen mağdurlara bildirimler gönderdi.
Bulgular, NSO’nun güvenlik açığını tetiklemek için herhangi bir eylemde bulunmak için herhangi bir hedef gerektirmeden iPhone’lara girmeye yönelik gelişen saldırı tekniklerinin en son örneğidir.
Ayrıca, New York Times’ın Meksika’nın son aylarda insan hakları savunucularını hedef almak için Pegasus’u kullandığını ortaya çıkaran ve ülkenin casus yazılımın ilk ve en üretken kullanıcısı haline nasıl geldiğini ayrıntılarıyla anlatan yeni bir soruşturmayla da örtüşüyorlar.
Jamf Threat Labs, bu tür saldırıların yaygınlığının bir başka göstergesinde, Orta Doğu’da yaşayan bir insan hakları aktivistinin yanı sıra casus yazılımlarla hedef alınan bir Macar gazetecinin kanıtlarını ortaya çıkardı. İsimleri açıklanmadı.
Gazetecinin iPhone’unu hedef alan saldırı, cihazın artık en son iOS sürümüyle uyumlu olmayan bir iPhone 6s olması ve tehdit aktörlerinin hedeflerine ulaşmak için bilinen ve bilinmeyen güvenlik açıklarından yararlanma eğilimini göstermesi açısından da önemli.
Apple, eski cihazlardaki kritik kusurlar için arka bağlantı noktası düzeltmeleri yaparken (iPhone 6s tarafından desteklenen geçerli sürüm iOS 15.7.5’tir), tüm güvenlik açıklarının eski cihazlar için ele alınmadığına dikkat etmek önemlidir.
Jamf, “Sonuç olarak, tehdit aktörleri, desteklenen yeni cihazlarda yamalı olan yamasız güvenlik açıklarından yararlanmaya devam edebilir ve potansiyel olarak saldırganlara hedeflenen cihazlara uzaktan erişim sağlamak için daha fazla zaman ve daha fazla bilgi verebilir” dedi.
Casus yazılım saldırılarına karşı korunmak için en son işletim sistemi güncellemelerini uygulamanız, eski cihazları daha yeni iPhone veya iPad modellerine yükseltmeniz ve Kilitleme Modunu etkinleştirmeyi düşünmeniz önerilir.
İNGİLTERE Ulusal Siber Güvenlik Merkezi (NCSC), 19 Nisan 2023’te yayınlanan bir danışma belgesinde, “ticari siber araçların yaygınlaşması, küresel olarak kuruluşlar ve bireyler için artan bir tehdit oluşturacaktır.”
Ajans, “Siber araçların ve hizmetlerin ticari olarak yaygınlaşması, başka türlü geliştiremeyecekleri veya edinemeyecekleri yetenek ve istihbarat elde etmede devlete ve devlet dışı aktörlere girişin önündeki engeli azaltıyor” dedi.
Haber Kaynağı: The Hacker News