Güvenlik araştırmacıları, eski yazılımlar kullanan iPhone’ları tehdit edebilen güçlü bir siber saldırı aracı setinin, bir devlet müşteri tarafından kullanıldıktan sonra siber suçluların eline geçtiğini ortaya koydu.

Google, Salı günü yaptığı açıklamada, bu exploit setinin, “Coruna” adıyla anıldığını ve ilk olarak Şubat 2025’te bir gözetim firmasının, hükümet müşterileri adına birinin telefonunu hacklemek için casus yazılım kullanmaya çalışırken tespit edildiğini bildirdi. Aynı exploit setinin, daha sonra bir Rus istihbarat grubunun geniş ölçekli kampanyası çerçevesinde Ukraynalı kullanıcıları hedef aldığını, ardından mali motive bir hacker tarafından Çin’de kullanıldığını buldu.

Bu araçların nasıl yayıldığı veya sızdığı belirsiz, ancak Google güvenlik araştırmacıları, “ikinci el” exploit’ler için yükselen bir pazar olduğuna dikkat çekti. Bu exploit’ler, hackerlara daha fazla değer elde etmeyi amaçlayan finansal motivasyonla satılmaktadır.

Keşif, hükümetler tarafından kullanılmak üzere tasarlanan exploit ve arka kapıların nasıl sızabileceğini ve nihayetinde siber suçlular veya diğer devlet dışı aktörler tarafından nasıl kötüye kullanılabileceğini gösteriyor. Mobil güvenlik şirketi iVerify, bu hacking araçlarını elde ederek tersine mühendislik ile inceledi ve bir blog yazısında Coruna exploit setinin, daha önce ABD’ye atfedilen hacking araçlarıyla benzerlikler taşıdığını belirtmiştir.

iVerify, “Kullanımın ne kadar yaygın olursa, bir sızıntının meydana gelme ihtimali o kadar artar,” dedi. “iVerify, bu aracın sızmış bir ABD hükümeti çerçevesi olduğuna dair bazı kanıtlar buldu, ancak bu durum bu araçların bir şekilde üçüncü taraflara geçiş yaparak kötü niyetli aktörler tarafından kullanılacağı gerçeğini göz ardı etmemeli.” dedi.

Google, bu hacking araçlarının güçlü olduğunu, zira yalnızca kötü niyetli bir web sitesini ziyaret ederek bir iPhone’un savunmalarını aşabildiğini belirtti. Bu saldırı türü “watering hole” (su birikintisi) saldırısı olarak bilinir. Coruna setinin bir iPhone’u beş ayrı yöntemle hackleyebildiği ve dijital cephaneliğindeki 23 ayrı açığı birbirine bağlayarak çalıştığı ifade edildi. Etkilenen cihazlar, Aralık 2023’te piyasaya sürülen iOS 13’ten 17.2.1’e kadar olan iPhone modellerini kapsamaktadır.

Wired’a göre, ilk olarak bu haberi duyuran Coruna seti, daha önce “Operation Triangulation” (Üçgen Operasyonu) adıyla bilinen bir hacking kampanyasında kullanılan bileşenleri içermektedir. Rus siber güvenlik firması Kaspersky, 2023’te ABD hükümetinin çalışanlarına ait birkaç iPhone’u hacklemeye çalıştığını iddia etti.

Sızma olayları nadir olsa da, hiç beklenmeyecek durumlar değildir. 2017’de ABD Ulusal Güvenlik Ajansı, dünya genelinde Windows bilgisayarlara sızmak için geliştirdiği araçların çalındığını keşfetmişti. “EternalBlue” olarak bilinen bu Windows arka kapısı daha sonra yayımlanmış ve siber suçlular tarafından kullanılarak 2017’deki WannaCry fidye yazılımı saldırısında kullanılmıştır.

TechCrunch ayrıca, eski ABD savunma yüklenicisi L3Harris Trenchant’ın başkanı Peter Williams’ın, Rus hükümeti ile çalışan bir aracıya sekiz exploit satmaktan suçlu bulunarak yedi yıldan fazla hapis cezasına çarptırıldığını bildirdi.

Prosecutor’lere göre, Williams, dünya genelinde “milyonlarca bilgisayara ve cihaza” sızma yeteneğine sahip exploit’leri sattı. En az bir exploit’in Güney Koreli bir aracıya satıldığı bilinmektedir. Ancak, exploit’lerin yazılım üreticilerine bildirilip bildirilmediği veya yamanıp yamanmadığı belirsizdir.

ABD hükümeti, sıfır gün zafiyetlerini edinip satan iki şirkete ve onların kurucularına yönelik yaptırımlar açıkladı.

ABD Hazine Bakanlığı yetkilileri, sıfır gün zafiyetlerinin, geliştiricisi tarafından bilinmeyen yazılım güvenlik açıkları olduğunu ve bu zafiyetlerin kötüye kullanılarak insanları hacklemek için kullanılabileceğini belirtti. Bu durumun, ABD’nin ulusal güvenliğine, dış politikasına ve ekonomisine tehdit oluşturduğunu ifade etti.

Yaptırım uygulanan ilk şirket, 2021 yılında kurulan Rus firması Operation Zero. Şirket, 2023 yılında Android cihazlar ve iPhone’lar için sıfır gün zafiyetleri için 20 milyon dolara kadar ödül sunduğu haberleriyle manşetlere çıktı. Ayrıca Telegram için de sıfır gün zafiyetleri için 4 milyon dolara kadar teklif sundu. Firma, yalnızca Rus hükümeti ve yerel kuruluşlarla çalıştığını iddia ediyor.

Hazine’nin Yabancı Varlık Kontrol Ofisi (OFAC), Operation Zero’nun müşterilerinin “bu araçları fidye yazılım saldırıları gerçekleştirmek veya diğer kötü niyetli faaliyetlerde bulunmak için kullanabileceğini” belirtti.

Hazine, şirketin kurucusu Sergey Zelenyuk’a da yaptırım uyguladığını duyurdu. Zelenyuk’un, yabancı istihbarat ajanslarına zafiyet satmakla suçlandığı bildirildi ve kendisinin casus yazılım ve hack teknolojileri geliştirmeye yönelik çalışmalarda bulunduğu iddia ediliyor. Hazine, Zelenyuk’un sosyal medya üzerinden hackerları işe aldığı ve yabancı istihbarat ajanslarıyla bağlantılar geliştirdiğini açıkladı. (Operation Zero’nun X ve Telegram’da hesapları bulunuyor.)

Hazine kaynaklarına göre, Operation Zero “ABD hükümeti ve seçkin müttefikleri için yalnızca özel kullanım amacıyla yaratılmış en az sekiz teşhis siber aracı” edindi ve “bu çalıntı araçları en az bir yetkisiz kullanıcıya sattı.”

Operation Zero ve Zelenyuk’a yönelik yaptırımlar, ABD’nin savunma yüklenicisi L3Harris için çalışan Peter Williams’a yönelik FBI soruşturması ile örtüşüyor. Williams, Ekim ayında şirketin en az sekiz zafiyetini belirsiz bir Rus aracısına satmaktan suçunu kabul etti.

Hazine şimdi, bu aracının Operation Zero olduğunu söylüyor; bu durum daha önce hükümet tarafından onaylanmamıştı.

Williams, ABD hükümeti ve bazı önemli istihbarat ortakları için hacking ve gözetim araçları geliştiren Trenchant’ta genel müdürdü. Bu ortaklar arasında Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık yer alıyor; yani beş göz ülkeleri olarak adlandırılan ittifakın üyeleri.

Hazine, bugün açıklanan yaptırımlara dair birçok sorunun yanıtını vermedi.

Zelenyuk’a yönelik yaptırımların yanı sıra ABD Hazine Bakanlığı, Birleşik Arap Emirlikleri merkezli bir bağlı şirket olan Special Technology Services’a da yaptırım uyguladı. Ayrıca, Zelenyuk’un asistanı Marina Evgenyevna Vasanovich ile Operation Zero ile bağlantılı olduğu iddia edilen Azizjon Makhmudovich Mamashoyev ve Oleg Vyacheslavovich Kucherov da yaptırıma tabi tutuldu.

Operation Zero, Special Technology Services ve Zelenyuk, Hazine’ye göre “ticaret sırlarının önemli çalıntıları” gerçekleştiren biri üzerinde yaptırım uygulama yetkisi veren 2022 federal yasası çerçevesinde yaptırıma tabi tutuldu.

Hazine, Rus vatandaşı Kucherov’un, daha önce ABD ve Birleşik Krallık tarafından yaptırıma uğramış olan ünlü fidye yazılım çetesi Trickbot’un bir üyesi olduğunu belirtti.

Mamashoyev’in, Birleşik Arap Emirlikleri merkezli bir başka sıfır gün aracısı olan Advance Security Solutions’ın kurucusu olduğu iddia ediliyor. Bu şirket de bugün yaptırım listesine alındı.

Advance Security Solutions, geçen yıl kuruldu ve her türlü akıllı telefona SMS ile hack yapabilmek için sıfır gün zafiyetleri için 20 milyon dolara kadar ödül teklif etti. Bu aracı ayrıca Android, iPhone, Windows ve Chrome gibi popüler yazılım ve donanımlar için yüksek ödemeli ödüller de sundu.

Operation Zero ve Zelenyuk, yorum talebine yanıt vermedi. Kucherov, Mamashoyev ve Vasanovich’a da hemen ulaşmak mümkün olmadı.

TechCrunch ile iletişime geçen bir kişi, Advance Security Solutions’ın sohbet hesabını yöneterek Mamashoyev’ın şirketin kurucusu olmadığını iddia etti.