Google’ın Tehdit Analizi Grubu, ticari bir gözetim satıcısı tarafından oluşturulan ve en az 2016 yılına dayanan Android cihazlarını etkileyen sıfırıncı gün açığını tespit etme ve düzeltmeye yardımcı olma çabaları hakkında bugün yeni ayrıntıları açıkladı. Araştırma, Las’taki Black Hat siber güvenlik konferansında sunuldu. Araştırmacılara göre Vegas, Google’ın gelişen ve gelişen özel gözetim endüstrisine karşı çabalarını hızlandırmak için yaptığı en son girişimi temsil ediyor.
CVE-2021-0920 olarak adlandırılan söz konusu güvenlik açığı, sıfır gün Tüm Linux işletim sistemini yöneten temel yazılım parçası olan Linux çekirdeği içindeki bir çöp toplama mekanizmasında “vahşi” istismar. Google, güvenlik açığını içeren bir istismar zinciri kullanan saldırganların, kullanıcıların cihazlarının kontrolünü uzaktan ele geçirebildiğini söylüyor.
Google, daha önce CVE-2021-0920’nin arkasındaki geliştiriciye bir dizi Android sıfır gün istismarı atfettiğini söyledi. Bu durumda, bir Google sözcüsü Gizmodo’ya gözetim satıcısının “mevcut savunma hafifletmelerini atlamak için birkaç yeni ve görünmeyen istismar tekniği” kullandığını söyledi. Sözcü, bunun satıcının iyi finanse edildiğini gösterdiğini söyledi.
CVE-2021-0920 güvenlik açığı, Google’ın araştırmasına yanıt olarak geçen Eylül ayında yamalanmış olsa da, açığın 2016’dan önce belirlendiğini ve Linux Çekirdeği Posta Listesinde rapor edildiğini söylüyorlar. O sırada uygun bir yama teklif edildi, ancak Linux Vakfı geliştiricileri sonunda bunu reddetti. Google, yamanın uygulanıp uygulanmaması konusunda anlaşmazlığı gösteren genel Linux çekirdeği e-posta ileti dizisini paylaştı.
Bir geliştirici, “Neden bir RFC olan, uygun bir taahhüt mesajı olmayan, uygun bir onaydan yoksun ve ayrıca ACK’lerden ve diğer bilgili geliştiricilerden gelen geri bildirimlerden yoksun bir yama uygulayayım” diye yazdı.
Kiralık Gözetim Dönemine Yanıt Verme
Google, kısmen saldırıların sayısındaki büyük artışa yanıt olarak, son yıllarda casus yazılım gruplarını tespit etme ve herkese açık olarak tanımlama çabalarını hızlandırdı. İçinde tanıklık Google Tehdit Analizi Grubu Direktörü Shane Huntley, bu yılın başlarında Meclis İstihbarat Komitesi’ne sunulan bir raporda, “ticari casus yazılım satıcılarının ve kiralık hack gruplarının büyümesi, TAG’de büyümeyi gerektirdi. [threat analyses groups] Bu tehditlere karşı koymak için.”
Huntley, ekibinin son bulgularının İsrail merkezli gelişmiş ticari casus yazılım şirketlerine işaret ettiğini söyledi. NSO Grubu, bir zamanlar dünyanın en gelişmiş devlet destekli istihbarat teşkilatlarına ait olan hackleme yeteneklerini elde etmeyi başardılar. Huntley, potansiyel olarak bir kullanıcı kötü niyetli içerikle etkileşime girmeden bir cihazı ele geçiren sıfır tıklamalı istismarları içerebilen bu tekniklerin kullanımının arttığını ve hükümetlerin emriyle gerçekleştirildiğini öne sürdü. Huntley’in ekibi tarafından geçen yıl keşfedilen dokuz sıfır gün açığından yedisinin ticari sağlayıcılar tarafından geliştirildiği ve devlet destekli aktörlere satıldığı bildirildi. Bir zamanlar yalnızca belirli bir grup ülke için mevcut olan yüksek düzeyde teknik gözetim teknikleri, artık en yüksek teklifi veren tarafından satın alınabilmektedir.
Huntley, “Bu satıcılar, aksi takdirde şirket içinde bu yetenekleri geliştiremeyecek olan ulus devlet aktörlerini silahlandırarak, tehlikeli bilgisayar korsanlığı araçlarının çoğalmasını sağlıyor” dedi. “Gözetim teknolojilerinin kullanımı ulusal veya uluslararası yasalara göre yasal olsa da, bazı devlet aktörleri tarafından demokratik değerlere zıt amaçlarla kullanıldığı tespit edildi: muhalifleri, gazetecileri, insan hakları çalışanlarını ve muhalefet partisi politikacılarını hedef almak.”
“Bu sektör gelişiyor gibi görünüyor.” dedi Huntley.
Lucas Ropek raporlamaya katkıda bulundu.