Güvenlik araştırmacıları Çarşamba günü 37C3’te, dört yıl içinde çoğu Moskova merkezli güvenlik firması Kaspersky’nin çalışanlarına ait olan düzinelerce hatta binlerce iPhone’u tehlikeye atan bir saldırı hakkında yeni ayrıntılar yayınladı. Nirengi Operasyonu adı verilen kampanya geçen yaz ortaya çıktı.
Reklamcılık
En önemli yeni bulgulardan biri: Daha önce bilinmeyen saldırganlar, benzeri görülmemiş bir ölçüde, çok kapsamlı bir erişim elde edebildiler. Apple ve ARM Holdings gibi çip teknolojisi tedarikçileri dışında pek kimsenin bilmediği, belgelenmemiş bir donanım özelliğini kullanıyorlardı.
Kaspersky araştırmacısı Boris Larin, Ars Technica’ya şunları söyledi: “Kötüye kullanımın karmaşıklığı ve işlevin belirsizliği, saldırganların gelişmiş teknik yeteneklere sahip olduğunu gösteriyor.” “Analizimiz saldırganların bu özelliği nasıl öğrendiğini ortaya çıkarmadı ancak önceki ürün yazılımı veya kaynak kodu sürümlerinde yanlışlıkla ifşa edilmesi de dahil olmak üzere tüm olasılıkları araştırıyoruz.” Ayrıca bu işlevi donanım tersine mühendislik yoluyla da keşfetmiş olabilirler.
Dört sıfır gün yıllarca istismar edildi
Larin, bir yıllık yoğun araştırmadan sonra bile diğer soruların cevapsız kaldığını söylüyor. Saldırganların donanım özelliğini nasıl öğrendikleri bir yana, araştırmacılar hala bu özelliğin amacının tam olarak ne olduğunu bilmiyorlar. Ayrıca özelliğin iPhone’un yerel bir parçası mı olduğu yoksa ARM’in CoreSight’ı gibi üçüncü taraf bir donanım bileşeni tarafından mı etkinleştirildiği de bilinmiyor.
Rus hükümet yetkililerine göre, arka kapı kampanyası Rusya’daki diplomatik misyonlar ve büyükelçiliklerdeki binlerce çalışanın iPhone’larını da etkiledi. Kaspersky’ye göre bulaşmalar, alıcının herhangi bir müdahale etme fırsatına sahip olmadığı (“sıfır tıklama”) karmaşık bir yararlanma zinciri yoluyla kötü amaçlı yazılım yükleyen iMessage mesajları yoluyla en az dört yıllık bir süre boyunca iletildi.
Üçgenleme İstismar Zinciri.
(Resim: Kaspersky)
Sonuç olarak cihazlara, diğer şeylerin yanı sıra mikrofon kayıtlarını, fotoğrafları, konum bilgilerini ve diğer hassas bilgileri cihazlardan saldırganlar tarafından kontrol edilen sunuculara ileten kapsamlı casus yazılımlar bulaştı. Bulaşmalar iPhone’un yeniden başlatılmasından sonra hayatta kalamamasına rağmen, bilinmeyen saldırganlar kısa bir süre sonra cihazlara yeni bir virüs bulaşmış iMessage mesajı göndererek kampanyalarını canlı tuttular.
37C3 ile ilgili sunuma göre, üçgenleme kötü amaçlı yazılımı için toplam dört kritik sıfır gün güvenlik açığının kullanıldığı söylendi. Dördüne de artık yama uygulandı: CVE-2023-32434, CVE-2023-38606, CVE-2023-32435 ve CVE-2023-41990. Sıfır gün ve üçgenlemeden yararlanan gizli donanım özelliği yalnızca iPhone’larda değil, Mac’lerde, iPod’larda, iPad’lerde, Apple TV’lerde ve Apple Watch’larda da bulundu. Ayrıca Kaspersky’nin keşfettiği güvenlik açıklarından bu cihazlarda da çalışmak için kasıtlı olarak yararlanıldı. Apple ayrıca etkilenen diğer platformlar için de yamalar sağladı ancak bunun dışında olay hakkında yorum yapmaktan kaçındı. Bir enfeksiyonu tespit etmek son derece zordu ancak Kaspersky bunun nasıl mümkün olabileceğine dair bilgi sağlıyor.
Haberin Sonu
Reklamcılık
En önemli yeni bulgulardan biri: Daha önce bilinmeyen saldırganlar, benzeri görülmemiş bir ölçüde, çok kapsamlı bir erişim elde edebildiler. Apple ve ARM Holdings gibi çip teknolojisi tedarikçileri dışında pek kimsenin bilmediği, belgelenmemiş bir donanım özelliğini kullanıyorlardı.
Kaspersky araştırmacısı Boris Larin, Ars Technica’ya şunları söyledi: “Kötüye kullanımın karmaşıklığı ve işlevin belirsizliği, saldırganların gelişmiş teknik yeteneklere sahip olduğunu gösteriyor.” “Analizimiz saldırganların bu özelliği nasıl öğrendiğini ortaya çıkarmadı ancak önceki ürün yazılımı veya kaynak kodu sürümlerinde yanlışlıkla ifşa edilmesi de dahil olmak üzere tüm olasılıkları araştırıyoruz.” Ayrıca bu işlevi donanım tersine mühendislik yoluyla da keşfetmiş olabilirler.
Dört sıfır gün yıllarca istismar edildi
Larin, bir yıllık yoğun araştırmadan sonra bile diğer soruların cevapsız kaldığını söylüyor. Saldırganların donanım özelliğini nasıl öğrendikleri bir yana, araştırmacılar hala bu özelliğin amacının tam olarak ne olduğunu bilmiyorlar. Ayrıca özelliğin iPhone’un yerel bir parçası mı olduğu yoksa ARM’in CoreSight’ı gibi üçüncü taraf bir donanım bileşeni tarafından mı etkinleştirildiği de bilinmiyor.
Rus hükümet yetkililerine göre, arka kapı kampanyası Rusya’daki diplomatik misyonlar ve büyükelçiliklerdeki binlerce çalışanın iPhone’larını da etkiledi. Kaspersky’ye göre bulaşmalar, alıcının herhangi bir müdahale etme fırsatına sahip olmadığı (“sıfır tıklama”) karmaşık bir yararlanma zinciri yoluyla kötü amaçlı yazılım yükleyen iMessage mesajları yoluyla en az dört yıllık bir süre boyunca iletildi.
Üçgenleme İstismar Zinciri.
(Resim: Kaspersky)
Sonuç olarak cihazlara, diğer şeylerin yanı sıra mikrofon kayıtlarını, fotoğrafları, konum bilgilerini ve diğer hassas bilgileri cihazlardan saldırganlar tarafından kontrol edilen sunuculara ileten kapsamlı casus yazılımlar bulaştı. Bulaşmalar iPhone’un yeniden başlatılmasından sonra hayatta kalamamasına rağmen, bilinmeyen saldırganlar kısa bir süre sonra cihazlara yeni bir virüs bulaşmış iMessage mesajı göndererek kampanyalarını canlı tuttular.
37C3 ile ilgili sunuma göre, üçgenleme kötü amaçlı yazılımı için toplam dört kritik sıfır gün güvenlik açığının kullanıldığı söylendi. Dördüne de artık yama uygulandı: CVE-2023-32434, CVE-2023-38606, CVE-2023-32435 ve CVE-2023-41990. Sıfır gün ve üçgenlemeden yararlanan gizli donanım özelliği yalnızca iPhone’larda değil, Mac’lerde, iPod’larda, iPad’lerde, Apple TV’lerde ve Apple Watch’larda da bulundu. Ayrıca Kaspersky’nin keşfettiği güvenlik açıklarından bu cihazlarda da çalışmak için kasıtlı olarak yararlanıldı. Apple ayrıca etkilenen diğer platformlar için de yamalar sağladı ancak bunun dışında olay hakkında yorum yapmaktan kaçındı. Bir enfeksiyonu tespit etmek son derece zordu ancak Kaspersky bunun nasıl mümkün olabileceğine dair bilgi sağlıyor.
Haberin Sonu