Başkan Biden’ın ABD’nin demokrasileri yıkmak için kullanılan ticari casus yazılımları satın almasını önlemek için bir yürütme emri imzalamasından sadece haftalar sonra, araştırmacılar iPhone kullanıcılarını hedef alan başka bir sıfır gün açığı tespit etti.
Başkan Biden’ın ABD hükümetinin demokrasileri yıkmak için kullanılan ticari casus yazılımları satın almasını engellemek için tasarlanmış yürütme emrini imzalamasından sadece haftalar sonra, araştırmacılar iPhone kullanıcılarını hedef alan başka bir utanç verici sıfır tıklama, sıfır gün istismarı tespit etti. Kiralık casus ‘çözüm’, QuaDream adlı bir İsrail firması tarafından satıldı.
QuaDream’in saldırıları, Microsoft ve Citizen Lab‘deki güvenlik araştırmacıları tarafından ortaya çıkarıldı. Eski NSO Group çalışanları tarafından kurulması ve İsrail istihbaratıyla bağlantıları olması da dahil olmak üzere, aynı soyağacının çoğunu paylaşmaktadır. Saldırıları ilk olarak geçen yıl ortaya çıktı,ancak araştırmacılar o zamandan beri bu dijital paralı askerlerin nasıl çalıştığı hakkında daha fazla şey buldu.
Şirket, görünüşte kolluk kuvvetleri için hükümetlere Reign adlı ürkütücü bir gözetleme platformu satıyor. Reign, iOS 14 çalıştıran iPhone’lar da dahil olmak üzere güvenliği ihlal edilmiş cihazlardan veri çalmak için kötü amaçlı yazılım, açıklardan yararlanma ve altyapı sağlıyor. Apple, 2021’de hayaletlerin hedef aldığı kişileri bilgilendirdiğinde ve kendi güvenlik korumalarını güçlendirdiğinde bu açıklardan haberdar oldu.
Sicilya Savunması nedir?
Yeni tanımlanan kötü amaçlı yazılıma KingsPawn adı verildi ve EndOfDays olarak adlandırılan korkunç bir istismarla çoğaldı, görünmez iCloud takvim davetlerini makinelere bulaştırmak için kullandığı ortaya çıkan sıfır tıklamalı bir saldırıydı. Araştırmacılar bunun Meksika’da aktif olarak kullanıldığını bildiriyor ve Citizen Lab ABD, Avrupa, Orta Doğu ve Orta ve Güneydoğu Asya’da bulunan kurbanları tespit etti. Kurbanlar arasında politikacılar, gazeteciler olduğu söyleniyor.
Bir iPhone’a yüklendiğinde, casus yazılım aramalardan veya mikrofondan gelen sesi kaydedebilir, fotoğraf çekebilir, anahtarlık öğelerini çalabilir ve kaldırabilir, 2FA iCloud şifreleri oluşturabilir, konumu izleyebilir, dosya arayabilir ve veritabanlarında arama yapabilir ve tüm bunları varlığını gizleyebilir. Kendi kendini yok etme özelliği bulunuyor. Bu saldırıları desteklemek için CitizenLab, QuaDream müşterileri tarafından işletilen en az 10 ülkede bulunan 600’den fazla sunucu tespit etti. Bu sunucular, çalınan verilerin depolanması ve istismar dağıtımı/hedeflenmesi dahil olmak üzere bir dizi görevi yerine getiriyor.
Sunucuların bulunduğu ülkeler arasında İsrail, Birleşik Arap Emirlikleri, Özbekistan, Singapur, Macaristan, Çek Cumhuriyeti, Romanya, Bulgaristan, Meksika ve Gana bulunmaktadır. En az üçünün (Macaristan, Meksika ve BAE) insan hakları savunucularını (HRD’ler), gazetecileri ve sivil toplumla ilgili diğer kişileri hedef almak için casus yazılım kullandığı biliniyor.
“İsrail’den çalıştırılan sistemlerin İsrail hükümeti tarafından mı yoksa QuaDream’in kendisi tarafından mı işletiliyor belirlenemiyor. Bununla birlikte, İsrail hükümetinin Filistinli HRD’leri ve yerel siyasi aktivistleri hedef almak için paralı asker casus yazılımlarını kötüye kullandığından da şüpheleniliyor” dedi. KingsPawn, ForcedEntry, EndOfDays ve Pegasus gibi isimlerle, bu firmalar tarafından kullanılan istismarlar bazı özellikleri paylaşıyor, temel olarak gelişmiş saldırı vektörleri ve daha geniş kullanım için çoğalma eğilimindedir.
QuaDream’in kurucu ortaklarından ikisinin daha önce NSO Group için çalışmış kişileri içerdiğini ve şirketin kendisinin iddiaya göre eski bir İsrail askeri yetkilisi tarafından yönetildiğini öğrenmek şaşırtıcı olmadı. Citizen Lab, “Her iki şirketle ilişkili çok sayıda kilit kişinin, başka bir gözetleme satıcısı olan Verint ve İsrail istihbarat teşkilatlarıyla önceden bağlantıları var” dedi. “Ticari casus yazılımların kontrolden çıkmış çoğalması, sistemik hükümet düzenlemeleriyle başarılı bir şekilde azaltılıncaya kadar, hem tanınabilir adlara sahip şirketler hem de hâlâ gölgede kalan şirketler tarafından körüklenen kötüye kullanım vakalarının sayısı muhtemelen artmaya devam edecek. ”dedi.
Bu saldırıdan kendinizi koruyun
Bu tür karanlık gruplar tarafından geliştirilen türden saldırılar ilk başta çok pahalıya mal olsa da, bu maliyet azalır. Apple için zorluk, aygıt güvenliğini kırma işini, bu saldırıların maliyetinin sıradan saldırganlar için çok yüksek kalmasını sağlayacak kadar zorlaştırmaya devam etmektir. Ancak zamanla açıklardan yararlanmalar sızıntı yapar ve artık güvenlik yamaları almayan eski cihazları kullananlar daha fazla risk altındadır.
Şimdiye kadar bilinmeyen sıfır tıklama saldırılarına karşı korunmak son derece zordur, ancak saldırı yüzeyini sınırlandırmaya yardımcı olabilecek bazı yaklaşımlar var,
- Cihazları en son güvenlik düzeltmelerini içeren en son yazılıma güncelleyin.
- Cihazları bir parola ile koruyun.
- Apple Kimliği için iki faktörlü kimlik doğrulama ve güçlü bir parola kullanın.
- Uygulamaları yalnızca App Store’dan yükleyin.
- Çevrimiçi ortamda güçlü ve benzersiz parolalar kullanın.
- Varsa, Apple’ın gelişmiş iCloud+ güvenlik araçlarını kullanın .
- Bilinmeyen göndericilerden gelen bağlantılara veya eklere tıklamayın.
Bir saldırı hedefi olabileceğine inanan bir iPhone kullanıcısı, bazı iPhone işlevleri pahasına mevcut saldırı yüzeyini önemli ölçüde daraltarak mevcut güvenlik korumasını artıran LockDown Modunu etkinleştirmelidir . Ancak herkesin yapabileceği bir şey, özellikle üretken yapay zeka makineleri Kuantum bilişimin derin hesaplama gücüyle birleşmeye hazırlanırken, bu endüstrinin sonuna kadar satın alındığında ısrar ediyor.
