Apple, gelişmiş kalıcı tehdit (APT) aktörünün “Operation Triangulation” adlı devam eden bir iOS casusluk kampanyasında kötü amaçlı yazılım dağıtmak için kullandığı yazılımındaki iki yeni sıfır gün güvenlik açığı için acil durum yamaları yayınladı.
Bu arada Çarşamba günü, Kaspersky yeni bir rapor yayınladı gelecekte konuşlandırılabilecek devre dışı bırakılmış özellikler gibi bir dizi tuhaflık içerdiğini işaretlediği kampanyada kullanılan TriangleDB casus yazılım implantı hakkında ek ayrıntılar sağladı.
Şirkete göre, analizi, kötü amaçlı yazılımın şimdilik dosya oluşturma, değiştirme, kaldırma ve çalma, işlemleri listeleme ve sonlandırma, kurbanın anahtar zincirinden kimlik bilgilerini toplama ve konumlarını izleme gibi çeşitli amaçlara hizmet eden 24 işlevsel komutu desteklediğini gösterdi.
Kaspersky’de sıfır gün hatalarını keşfeden güvenlik araştırmacılarından biri olan Georgy Kucherin, “Özellikle önemli bulduğumuz özellikler, virüs bulaşmış cihazdaki herhangi bir dosyayı okuma, kurbanın anahtar zincirinden şifreleri çıkarma ve cihazın coğrafi konumunu izleme yetenekleridir” diyor. Apple’ın bu hafta açıkladığı.
Sıfır Gün Üçlüsü
Yeni ele alınan güvenlik açıklarından biri (CVE-2023-32434) birden çok iOS sürümünü etkiler ve saldırganlara iPhone ve iPad’lerde çekirdek düzeyinde ayrıcalıklarla rasgele kod yürütme yolu sağlar. Diğer güvenlik açığı (CVE-2023-32439) Apple’ın WebKit tarayıcısında bulunur ve kötü amaçlarla oluşturulmuş web içeriği aracılığıyla rastgele kod yürütülmesine olanak tanır. 21 Haziran 2023’te Apple, her iki güvenlik açığını da gideren güncellemeler yayınladı.
İki hata, Kaspersky araştırmacılarının şu ana kadar Üçgenleme Operasyonunu araştırırken keşfettikleri üç Apple sıfır gün setinin parçası. Soruşturma, yaklaşık yedi ay önce, güvenlik firmasının kurumsal Wi-Fi ağında şüpheli bir şekilde davranan birkaç düzine iOS cihazı tespit etmesiyle başladı.
Şirket, konuyla ilgili bir rapor yayınladı. kötü amaçlı etkinliğin ilk analizi, erken Haziranda. O sırada Kaspersky, saldırganların, hedeflenen iOS kullanıcılarına ait iOS cihazlarına TriangleDB casus yazılım implantı sağlamak için muhtemelen Apple yazılımındaki birden çok güvenlik açığından yararlandıklarını açıklamıştı. Şirketteki araştırmacılar kusurlardan ilkini şu şekilde belirledi: CVE-2022-46690, bir uygulamanın çekirdek düzeyinde rasgele kod yürütmesine izin veren bir sınır dışı sorunu. Kaspersky, kötü amaçlı yazılımın kendisinin kök ayrıcalıklarıyla çalıştığını, etkilenen cihazlarda rasgele kod yürütebildiğini ve sistem ve kullanıcı bilgilerini toplamak için bir dizi komut uygulayabildiğini açıkladı.
Kucherin, virüslü cihazdaki dosyaları okumanın, saldırganların fotoğraflar, videolar, e-postalar gibi hassas bilgilere ve ayrıca mesajlaşma uygulamalarından konuşmaları içeren veritabanlarına erişmesine olanak sağladığını söylüyor. TriangleDB’lerin anahtarlık dökümü özellikleri, saldırganların kurbanın parolalarını toplamasına ve ardından bunları kurbanın sahip olduğu çeşitli hesaplara erişmek için kullanmasına olanak tanır.
TriangeDB Meraklı Casus Yazılım Davranışı Gösteriyor
Kucherin, ilginç bir şekilde, implantın işletim sisteminden (virüslü cihazlarda) birden fazla ayrıcalık talep ettiğini ve bilgileri kullanmanın herhangi bir açık yolu olmadığını söylüyor. Kötü amaçlı yazılımın talep ettiği ancak şu anda kullanmadığı ayrıcalık örnekleri arasında mikrofona, kameraya ve adres defterine erişim yer alır.
Gelecekte bir zamanda, “Bu özellikler, implant tarafından yüklenebilen yardımcı modüllerde uygulanabilir,” diye belirtiyor.
Kaspersky’nin TriangleDB’yi analiz ederken yaptığı bir diğer önemli keşif, kötü amaçlı yazılımın arkasındaki saldırganların hedeflenen macOS kullanıcılarını da gözetlediği gerçeğidir. Kucherin, “Belki de en ilginç bulgu, implantta bulduğumuz ‘populateWithFieldsMacOSOnly’ yöntemidir” diyor. “Varlığı, benzer implantların yalnızca iOS cihazlarını değil, aynı zamanda Mac bilgisayarları da hedeflemek için kullanılabileceği anlamına geliyor.”
Kaspersky, hedefli bir saldırının kurbanı olduğunu değerlendirdi, ancak muhtemelen tek saldırı bu değildi. Rusya’nın Federal Güvenlik Servisi (FSB) istihbarat teşkilatı, herhangi bir kanıt sunmadan, kötü amaçlı yazılımın ve casusluk operasyonunun arkasında muhtemelen Apple ile işbirliği içinde olan ABD Ulusal Güvenlik Teşkilatı’nın (NSA) olduğunu iddia etti. Teşkilat, ikiliyi Rus diplomatlara ve Rusya bağlantılı kişilere ait binlerce iOS cihazına casus yazılım yüklemekle ve ABD hükümetine sözde ilgi göstermekle suçladı. Rusya dışişleri bakanlığı, ABD’nin Rusya ve Çin’e yönelik suçlamalarını hatırlatan bir tonda, iOS casus yazılım kampanyasını, izinleri veya bilgileri olmadan “İnternet kullanıcılarının büyük ölçekli verilerini” toplamaya yönelik onlarca yıllık çabanın bir parçası olarak nitelendirdi.
Hem NSA hem de Apple bu iddiaları reddetti.
Kaspersky’nin yayınladığı ‘triangle_check’ adlı bir yardımcı program kuruluşların iOS cihazlarına yerleştirilen casus yazılım belirtilerini aramak için kullanabilecekleri.