Google ve Lookout araştırmacıları, kötü amaçlı yazılımın İtalya, Kazakistan ve Suriye’deki insanları hedeflemek için kullanıldığını tespit etti.
DURUŞMALARDA BUKötü şöhretli casus yazılım satıcısı NSO grubu, geçtiğimiz hafta Avrupalı yasa koyuculara en az beş AB ülkesinin güçlü Pegasus gözetleme kötü amaçlı yazılımını kullandığını söyledi. Ancak NSO ürünlerinin dünya çapında nasıl suistimal edildiği gerçeği her geçen gün daha fazla gün yüzüne çıktıkça, araştırmacılar aynı zamanda kiralık gözetim endüstrisinin tek bir şirketin çok ötesine geçtiği konusunda farkındalık yaratmak için de çalışıyorlar. Perşembe günü, Google’ın Tehdit Analizi Grubu ve Sıfır Projesi güvenlik açığı analiz ekibi , İtalyan geliştirici RCS Labs’a atfedilen bir casus yazılım ürününün iOS sürümü hakkında bulgular yayınladı .
Google araştırmacıları, hem Android hem de iOS cihazlarda İtalya ve Kazakistan’da casus yazılım kurbanlarını tespit ettiklerini söylüyorlar. Geçen hafta güvenlik firması Lookout , casus yazılımın “Hermit” olarak adlandırdığı ve aynı zamanda RCS Labs’a atfedilen Android sürümü hakkında bulgular yayınladı . Lookout, İtalyan yetkililerin casus yazılımın bir sürümünü kullandığını belirtiyorLookout, İtalyan yetkililerin 2019 yolsuzlukla mücadele soruşturması sırasındaLookout, İtalya ve Kazakistan’da bulunan kurbanlara ek olarak, kimliği belirsiz bir varlığın kuzeydoğu Suriye’yi hedeflemek için casus yazılımı kullandığını gösteren veriler de buldu.
TAG güvenlik mühendisi Clement Lecigne, WIRED’e şunları söyledi: “Google yıllardır ticari casus yazılım satıcılarının faaliyetlerini izliyor ve bu süre içinde endüstrinin birkaç satıcıdan tüm ekosisteme hızla genişlediğini gördük.” “Bu satıcılar, bu yetenekleri kurum içinde geliştiremeyecek olan hükümetleri silahlandırarak, tehlikeli bilgisayar korsanlığı araçlarının çoğalmasını sağlıyor. Ancak bu sektörde şeffaflık çok az veya hiç yok, bu nedenle bu satıcılar ve yetenekleri hakkında bilgi paylaşmak çok önemli.”
TAG, şu anda devlet destekli müşterilere bir dizi teknik yetenek ve gelişmişlik düzeyi sunan 30’dan fazla casus yazılım üreticisini izlediğini söylüyor.
Google araştırmacıları, iOS sürümüne ilişkin analizlerinde, saldırganların iOS casus yazılımını, popüler uluslararası mobil operatörün My Vodafone uygulamasına benzeyen sahte bir uygulama kullanarak dağıttığını buldu. Hem Android hem de iOS saldırılarında, saldırganlar kurbanların tıklaması için kötü niyetli bir bağlantı dağıtarak, bir mesajlaşma uygulaması gibi görünen bir uygulamayı indirmeleri için basitçe kandırmış olabilirler. Ancak, özellikle iOS hedeflemesinin bazı dramatik durumlarında, Google, saldırganların belirli bir kullanıcının mobil veri bağlantısını kesmek, onlara SMS üzerinden kötü amaçlı bir indirme bağlantısı göndermek ve onları sahte My Vodafone uygulamasını yüklemeye ikna etmek için yerel İSS’lerle çalışıyor olabileceğini buldu. Wi-Fi üzerinden, bunun hücre hizmetlerini geri yükleyeceği vaadiyle.
Saldırganlar kötü niyetli uygulamayı dağıtabildiler çünkü RCS Labs, görünüşe göre 3-1 Mobile SRL adlı bir paravan şirket aracılığıyla Apple’ın Kurumsal Geliştirici Programına kaydolarak, Apple’ın tipik AppStore inceleme sürecinden geçmeden uygulamaları yandan yüklemelerine izin veren bir sertifika elde etmişti.
Apple, WIRED’e casus yazılım kampanyasıyla ilişkili tüm bilinen hesapların ve sertifikaların iptal edildiğini söyler.
Şirket, yan yüklemeyle ilgili bir Ekim raporunda , “Kurumsal sertifikalar yalnızca bir şirket tarafından dahili kullanım içindir ve App Store ve iOS korumalarını atlatmak için kullanılabilecekleri için genel uygulama dağıtımı için tasarlanmamıştır” dedi . “Programın sıkı denetimlerine ve sınırlı ölçeğine rağmen, kötü aktörler, örneğin karaborsadan işletme sertifikaları satın alarak, programa yetkisiz erişim yolları buldular.”
Project Zero üyesi Ian Beer, RCS Labs iOS kötü amaçlı yazılımında kullanılan açıkların teknik bir analizini gerçekleştirdi. Casus yazılımın, bir kurbanın cihazını gözetlemek için erişim sağlamak için toplam altı istismar kullandığını belirtiyor. Beşi, eski iOS sürümleri için bilinen ve halka açık olarak dolaşan açıklar olsa da, altıncısı keşfedildiği sırada bilinmeyen bir güvenlik açığıydı. (Apple , Aralık ayında bu güvenlik açığını düzeltti .) Şirket ve genel olarak endüstri, hepsi bir arada “sistem üzerinde” doğru ilerlerken, bu istismar, Apple’ın yeni nesil “yardımcı işlemciler” arasında veri akışındaki yapısal değişikliklerden yararlandı. a-çip” tasarımı.
Bu istismarın gelişmişliği emsalsiz değil, ancak Google araştırmacıları, RCS Labs casus yazılımının, kiralık gözetim endüstrisinin üstünlük sağlamak için mevcut korsanlık tekniklerini ve istismarları daha yeni unsurlarla birleştirdiği daha geniş bir eğilimi yansıttığını belirtiyor.
“Ticari gözetim endüstrisi, jailbreak yapan topluluktan gelen araştırmalardan yararlanıyor ve bunları yeniden kullanıyor. TAG üyesi Benoit Sevens, bu durumda, altı istismardan üçü halka açık jailbreak istismarlarından kaynaklanmaktadır” diyor. “Başlangıçta siber suç grupları tarafından kullanılan ve keşfedilen teknikleri ve enfeksiyon vektörlerini yeniden kullanan diğer gözetim sağlayıcılarını da görüyoruz. Ve diğer saldırganlar gibi, gözetleme satıcıları da yalnızca karmaşık istismarlar kullanmakla kalmıyor, aynı zamanda kurbanlarını cezbetmek için sosyal mühendislik saldırılarını da kullanıyor.”
Araştırma, tüm aktörlerin NSO Group gibi bir şirket kadar başarılı veya iyi tanınmasa da, gelişen bir endüstride birçok küçük ve orta ölçekli oyuncunun birlikte dünya çapında internet kullanıcıları için gerçek risk oluşturduğunu gösteriyor.