Sıfırıncı gün açığından sıfır tıklamalı iMessage açığına
2019 ile Aralık 2022 tarihleri arasında son derece gelişmiş bir iMessage açığı ortaya çıktı ve bu açığı keşfeden Kasperksy güvenlik araştırmacıları tarafından "Operation Triangulation" olarak adlandırıldı. Araştırmacılar şimdiye kadar gördükleri bu en sofistike saldırı zinciri hakkında ilk kez bildikleri her şeyi paylaştılar.
Kısa bir süre önce araştırmacılar, dört yıl boyunca, çoğu Moskova merkezli güvenlik firması Kaspersky'nin çalışanlarına ait olan binlerce olmasa da düzinelerce iPhone'un arka kapısını açan bir saldırıyla ilgili keşfettikleri yeni bulguları kamuoyuna sundular. Paylaşılan bulgular, bilinmeyen saldırganların, Apple ve ARM Holdings gibi çip tedarikçileri dışında çok az kişinin bildiği, belgelenmemiş bir donanım özelliğindeki güvenlik açığından yararlanarak benzeri görülmemiş bir erişim seviyesine ulaştıklarını gösteriyor.
Geçtiğimiz yıllarda ortaya çıkan Pegasus sıfır tıklamalı iMessage açığı "teknik açıdan en sofistike açıklardan biri" olarak adlandırılıyor. Operation Triangulation da benzer şekilde korkutucu bir seviyede görünüyor zira açığın kullanıldığını tespit eden Kaspersky güvenlik araştırmacıları Boris Larin, Leonid Bezvershenko ve Georgy Kucherin, “Bu kesinlikle şimdiye kadar gördüğümüz en sofistike saldırı zincir” ifadelerini kullanıyorlar.
Sıfırıncı gün açığından sıfır tıklamalı iMessage açığına
Araştırmacılara göre Operation Triangulation (Nirengi Operasyonu) güvenlik açığı Aralık 2022'de yayınlanan iOS 16.2'ye kadar mevcuttu.
Yapılan araştırma Rusya'daki diplomatik misyonlarda ve büyükelçiliklerde çalışan binlerce kişinin iPhone'larına bulaşan kitlesel bir casusluk kampanyasını detaylarını ortaya koyuyor. Bu güvenlik açığı, alıcının herhangi bir işlem yapmasını gerektirmeden karmaşık bir saldırı aracılığıyla iMessage metinleriyle kötü amaçlı yazılımın yüklendiği bir saldırıyı içeriyor.
Saldırganlar, cihazlara tam özellikli casus yazılımlar yerleştirerek mikrofon kayıtlarını, fotoğrafları ve hassas verileri toplayabiliyor. Araştırmacılar, saldırının detaylarını ve amacını tam olarak anlamadıklarını belirtiyorlar. Kaspersky, saldırganların, Apple'ın henüz farkında olmadığı dört kritik sıfırıncı gün açığından yararlanarak sıfır tıklamalı casusluk yazılımını hedefledikleri cihazlara yüklediğini belirtti. Bu güvenlik açıkları iPhone'lar, Mac'ler, iPod'lar, iPad'ler, Apple TV'ler ve Apple Watch'lar dahil olmak üzere Apple cihazlarını etkiliyordu. Aktarılanlara göre en az 4 yıl boyunca bu açıklar kullanıldı.
Araştırmacılar, "bu saldırı zincirinin her yönünü" neredeyse tersine mühendislikle çözdüklerini ve 2024 yılında her bir güvenlik açığını ve nasıl kullanıldığını derinlemesine inceleyen daha fazla makale yayınlayacaklarını söylüyorlar. Ancak ilginç bir şekilde araştırma ekibi halen güvenlik açığının tüm ayrıntılarını keşfetmiş değil. Özellikle, saldırganların gizli donanım özelliğini nasıl bildikleri net değil.
Olay hakkındaki en ilgi çekici ayrıntı, güvenlik açığının çok önemli olduğu kanıtlanan ve daha önce bilinmeyen bir donanım özelliğinin hedef alması. Bu donanım özelliğindeki bir sıfırıncı gün açığı saldırganlara cihazın sistem bütünlüğünü korumak için tasarlanmış gelişmiş donanım tabanlı bellek korumalarını atlama imkanı verdi.
Daha da ilginci bu donanım özelliğini Apple ve cihazdaki çipi üretenler haricinde kimsenin bilmemesi. Araştırmacılara göre Apple mühendisleri bu donanım özelliğini büyük olasılıkla hata ayıklama veya test amacıyla kullanılmak üzere tasarlamış. Bu özellik aygıt yazılımı tarafından kullanılmadığından, saldırganların bunu nasıl kullanacaklarını bildikleri tam bir muamma.
Saldırıyı ABD yapmış olabilir
Rusya Ulusal Bilgisayar Olayları Koordinasyon Merkezi yetkilileri, saldırıların ABD Ulusal Güvenlik Ajansı'nın Rusya'daki diplomatik misyonlar ve büyükelçiliklerde, özellikle de NATO ülkeleri, eski Sovyet ülkeleri, İsrail ve Çin'i temsil eden kişilere ait birkaç bin iPhone'a virüs bulaştırdığını söylemişti. Bu söylem, geçtiğimiz aylarda Kaspersky’nin bu açığı bulduğunu söylediği ilk günlerde yapıldı.
Rusya Federal Güvenlik Servisi FSB'den gelen ayrı bir uyarıda Apple'ın bu kampanyada NSA ile işbirliği yaptığı iddia edildi. Bir Apple temsilcisi bu iddiayı reddetti. Bu arada Kaspersky araştırmacıları, NSA veya Apple'ın dahil olduğu iddiasını doğrulayan hiçbir kanıta sahip olmadıklarını söyledi.
Kaynak:https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
Kaynak:https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection-campaign-targeted-secret-hardware-feature/
Tepkiniz Nedir?
