Google’ın Tehdit Analiz Grubu (TAG), geçen yıl ele alınan bir dizi sıfır gün güvenlik açığının ticari casus yazılım satıcıları tarafından Android ve iOS cihazlarını hedeflemek için kullanıldığını ortaya çıkardı.
İki farklı kampanya, bir düzeltmenin yayınlanması ile hedeflenen cihazlara fiilen dağıtılması arasındaki yama boşluğundan yararlanılarak hem sınırlı hem de yüksek oranda hedeflendi. İki kampanyanın ölçeği ve hedeflerin niteliği şu anda bilinmiyor.
TAG’den Clement Lecigne, “Bu satıcılar, tehlikeli bilgisayar korsanlığı araçlarının çoğalmasını sağlıyor ve bu yetenekleri şirket içinde geliştiremeyecek hükümetleri silahlandırıyor.” söz konusu yeni bir raporda.
“Gözetleme teknolojilerinin kullanımı ulusal veya uluslararası yasalar kapsamında yasal olsa da, hükümetler tarafından genellikle muhalifleri, gazetecileri, insan hakları çalışanlarını ve muhalefet partisi politikacılarını hedef almak için kullanıldığı tespit edildi.”
İki operasyondan ilki Kasım 2022’de gerçekleşti ve İtalya, Malezya ve Kazakistan’da bulunan kullanıcılara SMS mesajları üzerinden kısaltılmış bağlantılar göndermeyi içeriyordu.
Tıklandıktan sonra URL’ler, alıcıları yasal haberlere veya gönderi izleme web sitelerine yeniden yönlendirilmeden önce Android veya iOS için açıklardan yararlanan web sayfalarına yönlendirdi.
iOS açıklardan yararlanma zinciri, CVE-2022-42856 (sıfır gün), CVE-2021-30900ve bir işaretçi kimlik doğrulama kodu (PAC) kalp ameliyatiyüklemek için .IPA dosyası hassas cihaza
Android istismar zinciri, üç istismardan oluşuyordu: CVE-2022-3723, CVE-2022-4135 (kötüye kullanım sırasında sıfır gün) ve CVE-2022-38181 – belirtilmemiş bir yükü teslim etmek için.
Sırasında CVE-2022-38181Mali GPU Çekirdek Sürücüsünü etkileyen bir ayrıcalık yükseltme hatası olan Arm, Ağustos 2022’de yama yaptı. Düşmanın, yamanın yayınlanmasından önce kusur için zaten bir istismara sahip olup olmadığı bilinmiyor.
Bir diğer dikkat edilmesi gereken nokta ise, linke tıklayıp Samsung İnternet Tarayıcısında açan Android kullanıcılarının Chrome isimli bir yöntemle Chrome’a yönlendirilmiş olması. niyet yönlendirmesi.
Aralık 2022’de gözlemlenen ikinci kampanya, açıklardan yararlanmaların BAE’de bulunan cihazlara SMS yoluyla tek seferlik bağlantılar olarak iletildiği Samsung İnternet Tarayıcısının en son sürümünü hedefleyen birkaç sıfır gün ve n günden oluşuyordu.
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını ortaya çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
İspanyol casus yazılım şirketi Variston IT tarafından kullanılanlara benzer web sayfası, sonunda sohbet ve tarayıcı uygulamalarından veri toplayabilen C++ tabanlı kötü amaçlı bir araç seti yerleştirdi.
İstismar edilen kusurlar CVE-2022-4262’yi oluşturur, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266Ve CVE-2023-26083. İstismar zincirinin Variston IT’nin bir müşterisi veya ortağı tarafından kullanıldığına inanılıyor.
Uluslararası Af Örgütü koordineli bir raporda, Aralık 2022 bilgisayar korsanlığı kampanyasını gelişmiş ve sofistike olarak nitelendirdi ve açıktan yararlanmanın “ticari bir siber gözetleme şirketi tarafından geliştirildiğini ve hedefli casus yazılım saldırıları gerçekleştirmeleri için hükümetin bilgisayar korsanlarına satıldığını” söyledi.
Uluslararası sivil toplum kuruluşu, “Yeni keşfedilen casus yazılım kampanyası en az 2020’den beri aktif ve Google’ın Android işletim sistemi kullanıcıları da dahil olmak üzere mobil ve masaüstü cihazları hedefliyor.” söz konusu. “Casus yazılım ve sıfırıncı gün istismarları, birden fazla 1.000 kötü amaçlı alanbirden çok ülkede medya web sitelerini taklit eden alan adları dahil.”
Bununla birlikte, iki kampanyanın ölçeği ve hedeflerin doğası şu anda bilinmiyor.
Açıklamalar, ABD hükümetinin federal kurumların ulusal güvenlik riski oluşturan ticari casus yazılımları kullanmasını kısıtlayan bir yürütme emrini duyurmasından sadece birkaç gün sonra geldi.
Lecigne, “Bu kampanyalar, ticari casus yazılım endüstrisinin gelişmeye devam ettiğini hatırlatıyor” dedi. “Daha küçük gözetleme satıcılarının bile sıfır-günlere erişimi var ve sıfır-gün güvenlik açıklarını stoklayan ve gizlice kullanan satıcılar, İnternet için ciddi bir risk oluşturuyor.”
“Bu kampanyalar ayrıca, tehlikeli bilgisayar korsanlığı araçlarının çoğalmasına olanak tanıyan güvenlik açıkları ve tekniklerin gözetim sağlayıcıları arasında paylaşıldığını gösterebilir.”