Keşifler arasında en önemlisi: Bilinmeyen saldırganlar, Apple ve ARM Holdings gibi çip politikaları dışında çok az kişinin bildiği, belgelenmemiş bir donanım özelliğindeki bir güvenlik açığından yararlanarak iPhone cihazlarda benzeri görülmemiş bir erişim seviyesine ulaşmayı başardılar.
Kaspersky araştırmacısı Boris Larin bir e-postada: “Bu açıkların karmaşıklığı ve özelliklerinin belirsizliği, Saldırganların gelişmiş teknik yeteneklere sahip olduğunu gösteriyor.” dedi.
“Analizimizin bu özelliğinin nasıl olup olmadığı ortaya çıkıyor, geçmiş ancak donanım yazılımı veya kaynak sürüm kodunda yanlışlıkla ifşa edilmesi de dahil olmak üzere tüm olasılıkları araştırıyoruz. Ayrıca donanımsal dönüşüm elektrik yoluyla da buna rastlamış olabilirler.“
Yıllarca istismar edilen dört sıfır gün
Larin, yaklaşık 12 ay süren yoğun soruşturmadan sonra diğer soruları yanıtsız bıraktı. Saldırganların donanım özelliği nasıl öğrenildiğinin yanı sıra, araştırmacılar bu özelliğin tam olarak amacının ne olduğunu hala bilmiyorlar. Ayrıca özelliğinin iPhone cihazların yerel bir parçası mı olduğu yoksa ARM’in CoreSight’ı gibi üçüncü taraf bir donanım bileşeni tarafından mı etkinleştirildiği de bilinmiyor.
Rusya hükümetinin katkılarına göre, Rusya’nın organize ettiği Rusya’daki operasyon misyonları ve büyükelçiliklerde çalışan binlerce kişinin iPhone’larına da bulaşan kitlesel arka kapı kampanyası, Haziran ayında gün yüzüne çıktı.
Kaspersky, dört yıllık bir süre boyunca iletişimlerin, alıcının herhangi bir işlem yapmasına gerek kalmadan, karmaşık bir istismar zinciri yoluyla kötü amaçlı yazılım yükleyen iMessage metinleriyle iletildiğini söyledi.
Bununla birlikte cihazlara, diğer özelliklerin yanı sıra sıra mikrofon kayıtlarını, fotoğrafları, departmanın konumunu ve diğer hassas verilerin saldırganın kontrolünde sunuculara iletilerek tam özellikli casus yazılımı birleştirildi. Her ne kadar bulaşmalar yeniden başlatmadan sağ çıkamasa da bilinmeyen saldırganlar, cihazların yeniden başlatılması kısa bir süre sonra cihazlara yeni bir kötü amaçlı iMessage metni göndererek kampanyalarını canlı tuttu.
Çarşamba günü ayrıntılar yeni ayrıntılara göre, Kaspersky’nin hem kötü amaçlı yazılıma hem de onu yükleyen kampanyaya sunduğu reklam olan “Üçgenleme“nin, dört kritik sıfır gün güvenlik açığından yararlanıldığı, yani saldırganların arızaları varmadan önce teknik açıdan ciddi program kusurları olduğu belirtildi. Apple iPhone cihazlarda o zamandan bu yana şu şekilde takip edilen dört güvenlik açığını da kapattı:
Bu kritik sıfır günler ve gizli donanım işlevi, iPhone’ların etkilenmesinin sıra sıra Mac’lerde, iPod’larda, iPad’lerde, Apple TV’lerde ve Apple Watch’larda da bulunuyordu. Apple bu platformlara da yama uyguladı.
Gizemli iPhone işlevi Üçgenleme’nin başarısında hayati önem taşıdı
En ilgi çekici yeni ayrıntı, Üçgenleme Operasyonu kampanyası için çok önemli olduğu kanıtlanan, şimdiye kadar bilinmeyen donanım özelliğinin hedeflenmesi. Bu özellikteki sıfır gün, saldırganların temel çekirdeğin belleğini kurcalama yeteneğini kazandıktan sonra bile cihaz sistem bütünlüğünü korumak için tasarlanmış gelişmiş donanım tabanlı bellek korumalarını atlamalarına olanak tanıdı. Diğer platformların çoğunda, saldırganlar çekirdekteki bir güvenlik açığından başarıyla yararlandıktan sonra ele geçirilen sistem üzerinde tam kontrole sahip olurlar.
Bu korumalarla donatılmış Apple cihazlarında bu tür saldırganlar, diğer işlemlere kötü amaçlı kod yerleştirme veya çekirdek kodunu veya hassas çekirdek verilerini değiştirme gibi önemli saldırı sonrası teknikleri hâlâ uygulayamıyor.
Bu güçlü koruma, gizli işlevdeki bir güvenlik açığından yararlanılarak atlandı. Bugüne kadar tespit edilen istismarlarda nadiren mağlup edilen koruma, Apple’ın M1 ve M2 CPU’larında da mevcut.
Kaspersky araştırmacıları, gizli donanım işlevini ancak Üçgenleme bulaşmış cihazlar üzerinde aylarca süren kapsamlı tersine mühendislik çalışmalarının ardından öğrendi.
Kursta araştırmacıların dikkati, CPU’ların USB’ler, bellek denetleyicileri ve GPU’lar gibi çevresel bileşenlerle etkileşime girmesi için bellek adresleri sağlayan donanım kayıtları olarak bilinen şeye çekildi. Bellek Eşlemeli Giriş/Çıkışların kısaltması olan MMIO’lar, CPU’nun belirli bir çevresel aygıtın belirli donanım kaydına yazmasına olanak tanır.
Araştırmacılar, saldırganların bellek korumalarını aşmak için kullandığı birçok MMIO adresinin, tersine mühendislere yardımcı olabilecek, belirli bir donanım kümesinin makine tarafından okunabilir bir açıklaması olan cihaz ağacı adı verilen herhangi bir yerde tanımlanmadığını buldu.
Araştırmacılar kaynak kodlarını, çekirdek görüntülerini ve cihaz yazılımını daha detaylı inceledikten sonra bile MMIO adreslerinden herhangi bir iz bulamadılar.
Larin, Almanya’nın Hamburg kentindeki 37. Kaos İletişim Kongresi’nde yaptığı sunumla aynı zamana denk gelen bir basın açıklamasında, “Bu sıradan bir güvenlik açığı değil.” dedi.
“iOS ekosisteminin kapalı yapısı nedeniyle keşif süreci hem zorlu hem de zaman alıcıydı; hem donanım hem de yazılım mimarilerinin kapsamlı bir şekilde anlaşılmasını gerektiriyordu. Bu keşfin bize bir kez daha öğrettiği şey, gelişmiş donanım tabanlı korumaların bile, gelişmiş bir saldırgan karşısında, özellikle de bu korumaları atlamaya izin veren donanım özellikleri olduğunda etkisiz hale getirilebileceğidir.“
Kaspersky’nin Üçgenleme Operasyonu’nun çalışanlarının iPhone cihazlarına bulaştığını ilk kez açıkladığı geçen Haziran ayında, Rusya Bilgisayar Olayları Ulusal Koordinasyon Merkezi yetkilileri, saldırıların ABD Ulusal Güvenlik Ajansı’nın binlerce iPhone’a virüs bulaştıran daha geniş bir kampanyasının parçası olduğunu söyledi.
Rusya’daki diplomatik misyonlarda ve büyükelçiliklerde bulunan kişilere, özellikle de NATO ülkelerini, Sovyet sonrası ülkeleri, İsrail’i ve Çin’i temsil eden kişilere ait. Rusya Federal Güvenlik Servisi FSB’den gelen ayrı bir uyarıda, Apple’ın kampanyada NSA ile işbirliği yaptığı iddia edildi. Bir Apple temsilcisi iddiayı reddetti. Bu arada Kaspersky araştırmacıları, NSA veya Apple’ın olaya karıştığı iddiasını doğrulayacak hiçbir kanıtları olmadığını söyledi.
Larin, e-postasında “Şu anda bu siber saldırıyı bilinen herhangi bir tehdit aktörüne kesin olarak atfetemiyoruz.” diye yazdı. “Üçgenleştirme Operasyonunda gözlemlenen benzersiz özellikler, bilinen kampanyaların kalıplarıyla uyuşmuyor ve bu aşamada ilişkilendirmeyi zorlaştırıyor.”
