Güvenlik araştırmacıları, eski yazılımlar kullanan iPhone’ları tehdit edebilen güçlü bir siber saldırı aracı setinin, bir devlet müşteri tarafından kullanıldıktan sonra siber suçluların eline geçtiğini ortaya koydu.
Google, Salı günü yaptığı açıklamada, bu exploit setinin, “Coruna” adıyla anıldığını ve ilk olarak Şubat 2025’te bir gözetim firmasının, hükümet müşterileri adına birinin telefonunu hacklemek için casus yazılım kullanmaya çalışırken tespit edildiğini bildirdi. Aynı exploit setinin, daha sonra bir Rus istihbarat grubunun geniş ölçekli kampanyası çerçevesinde Ukraynalı kullanıcıları hedef aldığını, ardından mali motive bir hacker tarafından Çin’de kullanıldığını buldu.
Bu araçların nasıl yayıldığı veya sızdığı belirsiz, ancak Google güvenlik araştırmacıları, “ikinci el” exploit’ler için yükselen bir pazar olduğuna dikkat çekti. Bu exploit’ler, hackerlara daha fazla değer elde etmeyi amaçlayan finansal motivasyonla satılmaktadır.
Keşif, hükümetler tarafından kullanılmak üzere tasarlanan exploit ve arka kapıların nasıl sızabileceğini ve nihayetinde siber suçlular veya diğer devlet dışı aktörler tarafından nasıl kötüye kullanılabileceğini gösteriyor. Mobil güvenlik şirketi iVerify, bu hacking araçlarını elde ederek tersine mühendislik ile inceledi ve bir blog yazısında Coruna exploit setinin, daha önce ABD’ye atfedilen hacking araçlarıyla benzerlikler taşıdığını belirtmiştir.
iVerify, “Kullanımın ne kadar yaygın olursa, bir sızıntının meydana gelme ihtimali o kadar artar,” dedi. “iVerify, bu aracın sızmış bir ABD hükümeti çerçevesi olduğuna dair bazı kanıtlar buldu, ancak bu durum bu araçların bir şekilde üçüncü taraflara geçiş yaparak kötü niyetli aktörler tarafından kullanılacağı gerçeğini göz ardı etmemeli.” dedi.
Google, bu hacking araçlarının güçlü olduğunu, zira yalnızca kötü niyetli bir web sitesini ziyaret ederek bir iPhone’un savunmalarını aşabildiğini belirtti. Bu saldırı türü “watering hole” (su birikintisi) saldırısı olarak bilinir. Coruna setinin bir iPhone’u beş ayrı yöntemle hackleyebildiği ve dijital cephaneliğindeki 23 ayrı açığı birbirine bağlayarak çalıştığı ifade edildi. Etkilenen cihazlar, Aralık 2023’te piyasaya sürülen iOS 13’ten 17.2.1’e kadar olan iPhone modellerini kapsamaktadır.
Wired’a göre, ilk olarak bu haberi duyuran Coruna seti, daha önce “Operation Triangulation” (Üçgen Operasyonu) adıyla bilinen bir hacking kampanyasında kullanılan bileşenleri içermektedir. Rus siber güvenlik firması Kaspersky, 2023’te ABD hükümetinin çalışanlarına ait birkaç iPhone’u hacklemeye çalıştığını iddia etti.
Sızma olayları nadir olsa da, hiç beklenmeyecek durumlar değildir. 2017’de ABD Ulusal Güvenlik Ajansı, dünya genelinde Windows bilgisayarlara sızmak için geliştirdiği araçların çalındığını keşfetmişti. “EternalBlue” olarak bilinen bu Windows arka kapısı daha sonra yayımlanmış ve siber suçlular tarafından kullanılarak 2017’deki WannaCry fidye yazılımı saldırısında kullanılmıştır.
TechCrunch ayrıca, eski ABD savunma yüklenicisi L3Harris Trenchant’ın başkanı Peter Williams’ın, Rus hükümeti ile çalışan bir aracıya sekiz exploit satmaktan suçlu bulunarak yedi yıldan fazla hapis cezasına çarptırıldığını bildirdi.
Prosecutor’lere göre, Williams, dünya genelinde “milyonlarca bilgisayara ve cihaza” sızma yeteneğine sahip exploit’leri sattı. En az bir exploit’in Güney Koreli bir aracıya satıldığı bilinmektedir. Ancak, exploit’lerin yazılım üreticilerine bildirilip bildirilmediği veya yamanıp yamanmadığı belirsizdir.
