Rus yazılım şirketi Kaspersky’ye göre, iPhone’lara saldırmak için kullanılan özellikle gelişmiş kötü amaçlı yazılımları keşfetti. Şirket patronu Eugene Kaspersky bir blog girişinde, daha önce bilinmeyen kötü amaçlı yazılımın, şirketin kendi yönetiminin cep telefonlarında casusluk yapmak için kullanıldığı için bulunduğunu yazıyor. İçinde “Üçgenleştirme Operasyonu” olarak adlandırılan hedefli bir siber saldırıdan bahsediyor. Başka bir makalede, şirketin birkaç çalışanı topladıkları bilgileri derliyor ve saldırının izlerini kendiniz nasıl arayacağınız konusunda ipuçları veriyor. Kaspersky’de saldırı püskürtüldü ve operasyonlar normal şekilde devam etti.
Enfeksiyon kullanıcıyı atlar
Saldırı, Kaspersky’nin kendi WLAN trafiğinin izlenmesi sayesinde keşfedildi. Birkaç iPhone’da şüpheli etkinlik fark edildi. Saldırıların izleri daha sonra ancak yedeklerin incelenmesiyle gün ışığına çıkarıldı, cihazların kendilerinde yeterli analiz mümkün değildi. Böylelikle saldırının nasıl gerçekleşmiş olabileceği ve geride ne gibi izler bıraktığı yeniden yaratıldı. Diğer şeylerin yanı sıra, kötü amaçlı yazılım güncellemelerin yüklenmesini engeller. iPhone artık güncellemeleri yükleyemiyorsa, bu açık bir enfeksiyon belirtisidir. En son savunmasız sürüm, geçen Eylül ayında piyasaya sürülen iOS 15.7’dir. Apple, Şubat ayından bu yana bir yama olduğu konusunda bilgilendirildi.
Eugene Kaspersky’nin kişisel olarak belirttiği gibi, saldırılar virüslü bir iMessage ile “olabildiğince ihtiyatlı bir şekilde” başladı. Virüs bulaştırmak için iOS’taki çeşitli güvenlik açıklarından yararlanan kötü amaçlı bir ek içeriyordu. Bunun için cihaz üzerinde herhangi bir etkileşim gerekli değildir, bu nedenle mesaj hiç açılmazsa casus yazılım da yüklenir. Asıl casus yazılım daha sonra indirilir ve bir komuta ve kontrol sunucusundan kurulur. Bundan sonra, iMessage ve eki silinecektir. Kötü amaçlı yazılım kalıcı değildir, ancak cihazlara yeniden başlatmanın ardından yeniden virüs bulaşmıştır. En eski izler 2019 yılına ait ve saldırı şu anda devam ediyor. iMessage’ı devre dışı bırakarak kendinizi koruyabilirsiniz.
Kaspersky, virüs bulaşmış cihazdaki kullanıcı verilerini kaybetmeden casus yazılımı kaldırmanın bir yolunu henüz bulamadı. Bunun yerine, iPhone’u fabrika ayarlarına sıfırlamanız, en son iOS sürümünü yüklemeniz ve tüm işletim sistemini yeniden kurmanız gerekir. Bu nedenle bir saldırının izleri, yalnızca Mobil Doğrulama Araç Kiti ile analiz edilebilen yedekleme dosyalarında tespit edilebilir. İpuçlarının aranmasına ilişkin bilgilere Kaspersky’nin Command&Control sunucusuyla iletişim kurmak için kullanılan etki alanlarını da listeleyen Securelist’inden ulaşılabilir. Bu nedenle Kaspersky, saldırının ana hedefi olduklarını varsaymaz.
Kaspersky, saldırının arkasında kimin olduğundan şüphelenildiğini yazmıyor, ancak güvenlik şirketine göre yalnızca birkaç şüpheli bu tür karmaşık kötü amaçlı yazılımlar için uygun. Genel olarak açıklanan prosedür, İsrailli NSO Group’tan Pegasus gibi devlet aktörleri arasında popüler olan kötü amaçlı yazılımları anımsatıyor. Bu arada, Kaspersky’nin serbest bırakılmasının FSB’nin patlayıcı bir iddiasıyla tam olarak aynı gün gelmesi hala çarpıcı. Rus iç istihbarat servisi Apple’ı, ABD istihbarat teşkilatı NSA’nın etkili Rusların ve yabancı diplomatların cep telefonlarında casusluk yapmasına yardımcı olmak için iOS’taki özel güvenlik açıklarını kullanmakla suçladı. Her iki durumda da, her şey iPhone’larla ilgili.
güncellemeler
06/01/2023
17:54
Saat
Yama hakkında ek bilgiler, iMessage’ı devre dışı bırakma ve gerçek hedef sorusu eklendi.
(mho)
Haberin Sonu
Enfeksiyon kullanıcıyı atlar
Saldırı, Kaspersky’nin kendi WLAN trafiğinin izlenmesi sayesinde keşfedildi. Birkaç iPhone’da şüpheli etkinlik fark edildi. Saldırıların izleri daha sonra ancak yedeklerin incelenmesiyle gün ışığına çıkarıldı, cihazların kendilerinde yeterli analiz mümkün değildi. Böylelikle saldırının nasıl gerçekleşmiş olabileceği ve geride ne gibi izler bıraktığı yeniden yaratıldı. Diğer şeylerin yanı sıra, kötü amaçlı yazılım güncellemelerin yüklenmesini engeller. iPhone artık güncellemeleri yükleyemiyorsa, bu açık bir enfeksiyon belirtisidir. En son savunmasız sürüm, geçen Eylül ayında piyasaya sürülen iOS 15.7’dir. Apple, Şubat ayından bu yana bir yama olduğu konusunda bilgilendirildi.
Eugene Kaspersky’nin kişisel olarak belirttiği gibi, saldırılar virüslü bir iMessage ile “olabildiğince ihtiyatlı bir şekilde” başladı. Virüs bulaştırmak için iOS’taki çeşitli güvenlik açıklarından yararlanan kötü amaçlı bir ek içeriyordu. Bunun için cihaz üzerinde herhangi bir etkileşim gerekli değildir, bu nedenle mesaj hiç açılmazsa casus yazılım da yüklenir. Asıl casus yazılım daha sonra indirilir ve bir komuta ve kontrol sunucusundan kurulur. Bundan sonra, iMessage ve eki silinecektir. Kötü amaçlı yazılım kalıcı değildir, ancak cihazlara yeniden başlatmanın ardından yeniden virüs bulaşmıştır. En eski izler 2019 yılına ait ve saldırı şu anda devam ediyor. iMessage’ı devre dışı bırakarak kendinizi koruyabilirsiniz.
Kaspersky, virüs bulaşmış cihazdaki kullanıcı verilerini kaybetmeden casus yazılımı kaldırmanın bir yolunu henüz bulamadı. Bunun yerine, iPhone’u fabrika ayarlarına sıfırlamanız, en son iOS sürümünü yüklemeniz ve tüm işletim sistemini yeniden kurmanız gerekir. Bu nedenle bir saldırının izleri, yalnızca Mobil Doğrulama Araç Kiti ile analiz edilebilen yedekleme dosyalarında tespit edilebilir. İpuçlarının aranmasına ilişkin bilgilere Kaspersky’nin Command&Control sunucusuyla iletişim kurmak için kullanılan etki alanlarını da listeleyen Securelist’inden ulaşılabilir. Bu nedenle Kaspersky, saldırının ana hedefi olduklarını varsaymaz.
Kaspersky, saldırının arkasında kimin olduğundan şüphelenildiğini yazmıyor, ancak güvenlik şirketine göre yalnızca birkaç şüpheli bu tür karmaşık kötü amaçlı yazılımlar için uygun. Genel olarak açıklanan prosedür, İsrailli NSO Group’tan Pegasus gibi devlet aktörleri arasında popüler olan kötü amaçlı yazılımları anımsatıyor. Bu arada, Kaspersky’nin serbest bırakılmasının FSB’nin patlayıcı bir iddiasıyla tam olarak aynı gün gelmesi hala çarpıcı. Rus iç istihbarat servisi Apple’ı, ABD istihbarat teşkilatı NSA’nın etkili Rusların ve yabancı diplomatların cep telefonlarında casusluk yapmasına yardımcı olmak için iOS’taki özel güvenlik açıklarını kullanmakla suçladı. Her iki durumda da, her şey iPhone’larla ilgili.
güncellemeler
06/01/2023
17:54
Saat
Yama hakkında ek bilgiler, iMessage’ı devre dışı bırakma ve gerçek hedef sorusu eklendi.
(mho)
Haberin Sonu