İsrailli bir gözetim yazılımı şirketi, iPhone’lar için bir istismar zinciri geliştirmek amacıyla Apple’ın geçen hafta açıklanan üç sıfır gün güvenlik açığını ve Android’leri istismar etmek için Chrome sıfır gün güvenlik açığını Mısırlı kuruluşlara yönelik yeni bir saldırıda kullandı.
Son zamanlarda yayınlanan bir rapora göre Google’ın Tehdit Analiz Grubu’ndan (TAG) kendisine “Intellexa” adını veren şirket, Mısır’daki isimsiz hedeflere karşı kendi imzası olan “Predator” casus yazılımını yüklemek için istismar zinciri yoluyla elde ettiği özel erişimi kullandı.
TAG’a göre Predator ilk olarak son yıllarda Intellexa çatısı altına giren bir dizi casus yazılım geliştiricisinden biri olan Cytrox tarafından geliştirildi. Şirket bilinen bir tehdittir: Intellexa daha önce Predator’ı konuşlandırmıştı 2021’de Mısır vatandaşlarına karşı.
Intellexa’nın Mısır’daki iPhone enfeksiyonları, http sitelerine erişmeye çalışan kullanıcıları yakalayan ortadaki adam (MITM) saldırılarıyla başladı (şifreli https istekleri bağışıktı).
TAG araştırmacıları e-posta yoluyla şunu belirtiyor: “MITM enjeksiyonunun kullanılması, saldırgana, belirli bir bağlantıya tıklamak, bir belgeyi açmak vb. gibi tipik bir eylemi gerçekleştirmek için kullanıcıya güvenmek zorunda olmadığı bir yetenek sağlar.” “Bu, sıfır tıklamalı saldırılara benzer, ancak sıfır tıklamalı saldırı yüzeyinde bir güvenlik açığı bulmak zorunda değilsiniz.”
“Bu, ticari gözetleme satıcılarının neden olduğu zararların ve bunların yalnızca bireylere değil, genel olarak topluma yönelik oluşturduğu tehditlerin bir başka örneğidir” diye eklediler.
iOS’ta 3 Sıfır Gün, 1 Saldırı Zinciri
MITM kumarı kullanılarak kullanıcılar, saldırganın kontrolündeki bir siteye yönlendirildi. Buradan, tuzağa düşürülen kullanıcı amaçlanan hedefse (her saldırı yalnızca belirli bireyleri hedefliyorsa), istismarın tetikleneceği ikinci bir alana yönlendirileceklerdi.
Intellexa’nın istismar zinciri, iOS 17.0.1’den itibaren yamalı olan üç sıfır gün güvenlik açığını içeriyordu. Şu şekilde takip ediliyorlar: CVE-2023-41993 — Safari’de bir uzaktan kod yürütme (RCE) hatası; CVE-2023-41991 — PAC bypassına izin veren bir sertifika doğrulama sorunu; Ve CVE-2023-41992 — aygıt çekirdeğinde ayrıcalık yükseltmeyi mümkün kılan.
Üç adımın tamamı tamamlandıktan sonra, küçük bir ikili dosya Predator kötü amaçlı yazılımının bırakılıp bırakılmayacağını belirleyecekti.
“iOS için tam bir sıfır gün istismar zincirinin bulunması, saldırganlar için şu anda en ileri teknolojilerin öğrenilmesi açısından tipik olarak yeni bir şey. Sıfır günlük bir istismarın serbest ortamda yakalandığı her defasında, bu, saldırganlar için bir başarısızlık durumudur; bunu yapmazlar.” Araştırmacılar e-postada, hangi güvenlik açıklarına sahip olduklarını ve istismarlarının nasıl çalıştığını bilmemizi istemiyorlar” dedi. “Güvenlik ve teknoloji sektörü olarak, bu istismarlar hakkında öğrenebildiğimiz kadar çok şey öğrenmek ve böylece yeni bir istismar yaratmalarını daha da zorlaştırmak bizim görevimiz.”
Android’de Benzersiz Bir Güvenlik Açığı
Intellexa, iOS’un yanı sıra MITM ve doğrudan hedeflere gönderilen tek seferlik bağlantılar aracılığıyla Android telefonları da hedef aldı.
Bu sefer yalnızca bir güvenlik açığına ihtiyaç vardı: CVE-2023-4762, yüksek önem derecesine sahiptir ancak CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 8,8 puan almıştır. Kusur Google Chrome’da mevcut ve saldırganların özel hazırlanmış bir HTML sayfası aracılığıyla ana makinede rastgele kod yürütmesine olanak tanıyor. Bir güvenlik araştırmacısı tarafından bağımsız olarak bildirilen ve 5 Eylül itibarıyla yama uygulanan Google TAG, Intellexa’nın daha önce bu güvenlik açığını sıfır gün olarak kullandığına inanıyor.
İyi haber şu ki, Google TAG’a göre bulgular olası saldırganları çizim tahtasına geri gönderecek.
Araştırmacılar, “Saldırganların artık sıfır gün açıklarından dördünü değiştirmek zorunda kalacaklar, bu da Predator’ı iPhone’lara yükleme yeteneklerini sürdürmek için yeni açıkları satın almaları veya geliştirmeleri gerektiği anlamına geliyor.” diye bir e-posta gönderdiler. “Onların istismarları her zaman vahşi doğada yakalandığında, saldırganların parasına, zamanına ve kaynaklarına mal olur.”