Moskova merkezli güvenlik firması Kaspersky, birkaç düzine çalışanın iPhone’larına mikrofon kayıtları, fotoğraflar, coğrafi konum ve diğer verileri toplayan kötü amaçlı yazılım bulaştırmak için tıklamasız açıklardan yararlanan gelişmiş bir siber saldırı tarafından vuruldu.
Şirketin kurucusu Eugene Kaspersky, Perşembe günü yayınlanan bir gönderide, “Kaspersky’nin bu siber saldırının ana hedefi olmadığından eminiz.” “Önümüzdeki günler, casus yazılımların dünya çapında yaygınlaşması hakkında daha fazla netlik ve daha fazla ayrıntı getirecek.”
Rusya Ulusal Bilgisayar Olayları Koordinasyon Merkezi içindeki yetkililere göre saldırılar, ABD Ulusal Güvenlik Teşkilatının Rusya’daki diplomatik misyonlar ve büyükelçiliklerdeki, özellikle de NATO ülkelerinde bulunan kişilere ait birkaç bin iPhone’a virüs bulaştıran daha geniş bir kampanyasının parçasıydı. , Sovyet sonrası ülkeler, İsrail ve Çin. Rusya Federal Güvenlik Servisi FSB’den ayrı bir uyarı, Apple’ın kampanyada NSA ile işbirliği yaptığını iddia etti. Bir Apple temsilcisi iddiayı yalanladı.
Bu tıklamasız APT istismarı kendi kendini imha edecek
En az dört yıldır Kaspersky çalışanlarına karşı kullanılan kötü amaçlı yazılım, alıcının herhangi bir işlem yapmasına gerek kalmadan bir veya daha fazla güvenlik açığından otomatik olarak yararlanan kötü amaçlı bir dosya ekleyen iMessage metinlerinde teslim edildi. Bununla birlikte, cihazlara Kaspersky araştırmacılarının “tam özellikli bir APT platformu” olarak tanımladığı şey bulaştı. APT, gelişmiş kalıcı tehdidin kısaltmasıdır ve uzun süreler boyunca bireyleri hedef alan neredeyse sınırsız kaynaklara sahip tehdit aktörlerini ifade eder. APT’ler neredeyse her zaman ulus-devletler tarafından desteklenir.
APT kötü amaçlı yazılımı yüklendikten sonra, bulaşma zincirini başlatan ilk kısa mesaj silindi. Perşembe günkü gönderisinde Eugene Kaspersky şunları yazdı:
Saldırı, iOS işletim sistemindeki bir dizi güvenlik açığını kullanarak cihazda yürütülen ve casus yazılım yükleyen kötü amaçlı bir eke sahip görünmez bir iMessage kullanılarak gerçekleştirilir. Casus yazılımın konuşlandırılması tamamen gizlidir ve kullanıcının herhangi bir işlem yapmasını gerektirmez. Ayrıca casus yazılım, özel bilgileri uzak sunuculara sessizce iletir: mikrofon kayıtları, anlık mesajlaşma programlarından fotoğraflar, coğrafi konum ve virüslü cihazın sahibinin bir dizi başka etkinliği hakkındaki veriler.
Saldırı olabildiğince gizli bir şekilde gerçekleştirilir, ancak bulaşma gerçeği, bilgi ve olay yönetimi için yerel bir SIEM çözümü olan Kaspersky Birleşik İzleme ve Analiz Platformu (KUMA) tarafından tespit edildi; sistem, ağımızda Apple cihazlarından kaynaklanan bir anormallik tespit etti. Ekibimizin daha ayrıntılı araştırması, çalışanlarımızın birkaç düzine iPhone’una ‘Üçgenleme’ adını verdiğimiz yeni, son derece teknolojik açıdan gelişmiş bir casus yazılım bulaştığını gösterdi.
Operasyon Üçgeni adını, kötü amaçlı yazılımın bir telefonun hangi donanım ve yazılımla donatıldığını keşfetmek için tuval parmak izi olarak bilinen bir tekniği kullanması nedeniyle alır. Eugene Kaspersky, bu işlem sırasında kötü amaçlı yazılımın “cihazın belleğinde sarı bir üçgen çizdiğini” söyledi.
Kaspersky araştırmacıları, Triangulation enfeksiyonlarının en eski izlerinin 2019 yılına kadar uzandığını ve Haziran 2023 itibariyle saldırıların devam ettiğini söyledi. Başarılı bir şekilde hedeflenecek en son iOS sürümü, geçen ay itibarıyla geçerli olan 15.7’dir. Bir Kaspersky temsilcisi bir e-postada, güvenlik açıklarından herhangi birinin sıfır gün olup olmadığının net olmadığını, yani bunların Apple tarafından bilinmediğini ve istismar edildikleri sırada iOS’ta yama yapılmadığını söyledi. Kaspersky’nin bulaşmaları geçen ay iOS 16’nın piyasaya sürülmesinden önce mi tespit ettiği yoksa Kaspersy telefonlarının eski sürümü kullanmaya devam edip etmediği net değil. Bir Apple temsilcisi, Kaspersky’nin hesabında, açıklardan herhangi birinin 15.7’den sonraki iOS sürümlerinde çalıştığına dair bir gösterge olmadığını belirtti.
Bir e-postada bir Kaspersky temsilcisi şunları yazdı:
Saldırının zaman çizelgesi sırasında, bir günlük güvenlik açıkları bir zamanlar sıfır günlük güvenlik açıklarıydı. Daha önce aynı güvenlik açıklarından yararlanıldığına dair net bir gösterge olmasa da, bu oldukça olasıdır.
Bu yazıyı yazarken, istismar edilen birçok güvenlik açığından birini, büyük olasılıkla CVE-2022-46690 olarak tanımlayabildik. Bununla birlikte, siber casusluk kampanyasının karmaşıklığı ve iOS platformunun analizinin karmaşıklığı göz önüne alındığında, daha fazla araştırma kesinlikle konu hakkında daha fazla ayrıntı ortaya çıkaracaktır. Ortaya çıktıklarında topluluğu yeni bulgular hakkında güncelleyeceğiz.
Kaspersky araştırmacıları, kötü amaçlı araç setinin kalıcılık kazanamayacağını, yani yeniden başlatmalardan sağ çıkamayacağını söyledi. Bir Kaspersky temsilcisi, bir e-postada, kurbanların yeniden başlattıktan sonra tekrar sıfır tıklama açıklarından yararlandığını söyledi. Şirketin önümüzdeki günlerde veya haftalarda kötü amaçlı yazılım, kampanyanın hedefleri ve kökenleri hakkında daha fazla teknik ayrıntı sağlaması muhtemeldir.
Rusya, Apple’ı NSA ile işbirliği yapmakla suçluyor
Kasperky gönderileri, “Amerikan istihbarat servislerinin Apple mobil cihazları kullanılarak gerçekleştirilen bir keşif operasyonunu ortaya çıkardığını” iddia eden Rusya Federal Güvenlik Servisi FSB’den bir gönderiyle aynı zamana denk geldi. “birkaç bin telefon setinin” virüs bulaştığını keşfetti Gönderi, Apple’ı sözde Ulusal Güvenlik Teşkilatı operasyonuna yardım etmekle suçladı.
“Bu nedenle, Rus istihbarat servisleri tarafından alınan bilgiler, Amerikan şirketi Apple’ın ulusal istihbarat topluluğu, özellikle ABD NSA ile yakın işbirliğine tanıklık ediyor ve beyan edilen Apple kullanıcılarının kişisel verilerinin gizliliğini sağlama politikasını doğruluyor. cihazlar doğru değil” diye yazdı yetkililer. İddiaları desteklemek için ek ayrıntı veya kanıt sağlamadılar.
Bir e-postada, bir Apple temsilcisi iddiayı yalanladı ve şunları söyledi: “Hükümetlerle herhangi bir Apple ürününe arka kapı yerleştirmek için asla çalışmadık ve asla çalışmayacağız.”
Ancak Rusya Ulusal Bilgisayar Olayları Koordinasyon Merkezi tarafından yayınlanan bir gönderi, FSB uyarısını doğrudan Kaspersky saldırısına bağladı. Bir Kaspersky temsilcisi bir e-postada şunları yazdı: “Şu ana kadar FSB tarafından bildirilenlere ilişkin teknik ayrıntılara sahip olmasak da, Rusya Ulusal Bilgisayar Olayları Koordinasyon Merkezi (NCCCI) genel uyarılarında şu göstergelerin olduğunu zaten belirtti: taviz aynıdır.” Bir NSA temsilcisi, teşkilatın iddialar hakkında herhangi bir yorumu olmadığını söyledi. Apple temsilcileri, yanıt isteyen e-postalara henüz yanıt vermedi.
Bu, Kaspersky’nin bir APT kampanyasında ilk kez başarılı bir şekilde ele geçirilmesi değil. 2014 yılında şirket, gizli kötü amaçlı yazılımın tespit edilmeden önce ağına aylarca bulaştığını keşfetti. Saldırgan, bulaşmanın kaynağını gizlemek için büyük çaba harcarken Kaspersky, bu saldırıdaki kötü amaçlı yazılımın, doğrudan Stuxnet’ten türetilen kodla 2011’in sonlarında keşfedilen Duqu’un güncellenmiş bir sürümü olduğunu söyledi. Kanıtlar daha sonra Duqu’nun İran’ın nükleer malzeme geliştirme çabalarını gözetlemek ve ülkenin ticari ilişkilerini takip etmek için kullanıldığını ileri sürdü.
Eugene Kaspersky Perşembe günkü gönderisinde, “Çok agresif bir ortamda çalıştığımızın ve uygun olay müdahale prosedürleri geliştirdiğimizin gayet iyi farkındayız.” “Alınan tedbirler sayesinde şirket normal çalışıyor, iş süreçleri ve kullanıcı verileri etkilenmedi ve tehdit etkisiz hale getirildi.”
