Nefes kesen hikaye Kaspersky şirketinde mobil cihazlara tahsis edilen bağlantıyı loglayan bir araştırmacının radarına iOS (Apple telefonlarda ve tabletlerde kullanılan işletim sistemi) cihazlardan gelen garip isteklerin takılması ile başlıyor. Ofisteki telefonlar toplanıyor, araştırma işin yedekleri alınıyor ve günlerce süren çalışma sonucunda büyük bir operasyonu deşifre ediyorlar. Eğer bu virüs sizin Apple marka cihazınıza da bulaştıysa WhatsApp verilerinize, kamera ve mikrofonunuza, adres defterinize ve hatta yakınınızdaki cihaz bilgilerine erişilmiş olabilir. Ekran kapalı olduğunda ses kaydı bile alınabilir.
27 Aralık Çarşamba günü Hamburg Kongre Merkezi ilginç bir konferansın 37’incisine ev sahipliği yaptı: Chaos Communication Congress (CCC).
Bu mekan, 2006 yılında, kendisini şeffaflığa ve özgürlüğe adamış, bu uğurda saçlarını genç yaşta ağartmış başka birini Julian Assange’ı Wikileaks’i duyurduğu meşhur konuşması ile ağırlamıştı.
27 Aralık 2023 Çarşamba günü bu ünlü konferansın sahnesi bu kez ikisi halen üniversite öğrencisi, üç genci ağırladı. Ünlü anti virüs şirketi Kaspersky’de güvenlik araştırmacısı olarak çalışan bu gençler yıllardır Apple marka cihazların izlenmesine yol açan zafiyetleri ve bu zafiyetleri kullanan zararlı yazılımın kutusunu açtılar. Araştırmacılar bu zararlı yazılımların dahil olduğu attack chain yani saldırı zincirine Operation Triangulation adını verdiler.
Özetle saldırganların iMessage programına yolladığı PDF içeren bir mesaj sayesinde 16.2 vesiyonundan önceki bütün telefonlar karmaşık bir saldırı silsilesi ile ele geçiriliebiliyordu. Dahası, saldırıda kullanılan zafiyetler, Apple üretimi diğer cihazlar yaklaşık olarak aynı işletim sistemi altyapısını kullandığı için telefonlar dışındaki diğer cihaz tiplerine de zahmetsizce uyarlanabilirdi.
Üreticisinin dahi bilmediği, güvenli yaması yayınlamadığı için zafiyet demek olan zero day kategorisindeki dört zafiyet bu saldırı zincirinde kullanılmıştı. Uzaktan cihaz kontrol etmeye imkân veren bu nevi zafiyetlerin piyasa değerleri milyonları buluyor. Zafiyet brokerlarının web sitelerinde fiyat tarifelerini görebilmek mümkün. Bu dört zafiyetin toplam, en az, beş milyon dolar civarında olduğunu tahmin ediyorum. İran’ın Natanz şehrindeki nükleer tesisleri hedef alan Stuxnet saldırısnda da tıpkı Operation Triangulation saldırısında olduğu gibi dört zero day kullanıldığını da not edelim.
iMessage programı burada önemli bir ayrıntı. Nitekim İsrail merkezli NSO şirketinin siber casusluk yazılımı olan Pegasus da telefonlara uzaktan erişim için iMessage’daki bir zafiyeti kullandığı birçok farklı kaynakta yer aldı. Gazeteci Cemal Kaşıkçı suikastinde de bu siber casusluk yazılımın izlerine rastlandığı biliniyor.
Araştırmacılar konuşmalarına bu zararlı yazılım Kaspersky tarafından yine Kasperky’de bulunmuştur şeklinde ironik bir şekilde başlıyorlar.
Nefes kesen hikaye Kaspersky şirketinde mobil cihazlara tahsis edilen bağlantıyı loglayan bir araştırmacının radarına iOS (Apple telefonlarda ve tabletlerde kullanılan işletim sistemi) cihazlardan gelen garip isteklerin takılması ile başlıyor.
İstekleri takip eden araştırmacı, bu ağ paketlerinin belirli bir ad örüntüsüne sahip alan adlarına (domain name) gönderildiğini tespit ediyor. Bu örüntü sadece alan adlarında değil aynı zamanda şüpheli görünen domainlerin aynı servis sağlayıcısından (NameCheap) alınması ve Cloudflare üzerinden servis edilmesi gibi ortak noktalar da taşıyorlar.
Ofisteki telefonlar toplanıyor, araştırma işin yedekleri alınıyor ve günlerce süren çalışma sonucunda büyük bir operasyonu deşifre ediyorlar. Bu kadar karmaşık bir saldırı ağını nasıl çözdüler derseniz, araştırmacıların ifadeleri ile söyleyecek olursak, “Saldırganların yaptığı hatalar yüzünden.
Örneğin saldırganlar izlerini silmek için saldırıda kullanılan tüm dosyaları silmişlerdi ama bu dosyaları barındıran dizinleri silmeyi unutmuşlardı. Yine aynı şekilde pek çok veritabanı dosyasını silmişlerdi ama datausage.sqlite isminde, Apple cihazlarının adli bilişim analizinde kullanılan önemli bir dosyayı silmeyi unutmuşlardı.
Takip edilen izler araştırmacıları iMessage mesajlaşma yazılımına gönderilen PDF ekli mesajlara götürüyordu. Bu mesaj aynı zamanda çok girift olan saldırı akışının da başlangıç noktası idi. Mesaj içerisinde gönderilen PDF, doksanlı yıllardan bu yana kullanılan TrueType adındaki bir yazı biçemindeki (font) bir zafiyet kullanarak saldırının fitilini ateşliyordu.
Operasyona adını veren Triangulation kelimesi nirengi noktası demek. Peki bu ad nereden geliyor, araştırmacılar mevcut operasyon için neden bu ismi kullandılar? Saldırı zincirinin bir noktasında cihazda çalıştırılan kod vasıtası ile üretilen sarı üçgen görselinden hareketle operasyona bu ismin verildiği belirtiliyor. Bu görselin üretilme işlemi cihaza ait tekil özelliklerin gruplandığı parmak izi (fingerprint) oluşturma işlemi olarak da biliniyor.
Okurları teknik ayrıntılarla boğmak istemiyorum. Bu sebeple meraklılarını ilgili konferans kaydına yönlendirip, bazı temel noktaların altını çizmeye devam edeceğim.(https://www.youtube.com/watch?v=7VWNUUldBEE)
Araştırmacıların notlarına göre saldırı akışı oldukça komplex çünkü saldırganlar esas zararlı yazılımı, doğru kişiye bulaştırmak istiyorlar Doğru kişiye ulaşıp ulaşmadığını da pek çok yöntem kullanarak kontrol ediyor zararlı yazılım.
Eğer kodun telefonunda çalıştığı kişi, hedeflenen kişiyse, yaklaşık 10 yıllık bir kod son aşamada gönderiliyor: TriangleDB.
Bu casus yazılım coğrafi konum, dosyalara full erişim, messenger (WhatsApp, Telegram ve iMessage) verileri, kamera ve mikrofon erişimi, adres defteri ve yakındaki cihaz bilgilerine erişebiliyor. Ekran kapalı olduğunda ses kaydı da alıyor.
Bu zararlı yazılım makine öğrenmesi teknolojisini kullanarak telefondaki içerikleri analiz eden etmesiyle türünün ilk örneği olarak tarif ediliyor. Saldırıya maruz kalan telefondaki fotoğrafları analiz edip, içerdikleri görsellere göre saldırgana yolluyor. Özellikle de dökümanları.
Kaspersky firması yazılımın arkasındaki hangi ülke ya da aktörlerin olduğunu söylemiyor. Konferanstaki araştırmacılar “elimizde net veri olmadan, spekülasyon yapmak istemiyoruz”, diyerek topu taca atıyorlar sanki.
Bir saatlik sunumun üçte biri, yani son 20 dakikası dinleyicilerin sorularına hasrediliyor. Burada siz okurların da muhtemelen merak ettiği bir soru soruluyor. “Bizim cihazımız da bu saldırıdan etkilendi mi?”
Araştırmacılar https://securelist.com/find-the-triangulation-utility/109867/ adresinde telefonununuzun backupını alarak, bu saldırıya maruz kalıp kalmayacağını kontrol edebileceğiniz ücretsiz bir yazılım paylaşıyorlar.
Kaynak: Serbestiyet
