ABD’li teknoloji devi Apple, siber tehdit aktörlerinin aktif olarak istismar ettiği kritik bir sıfırıncı gün zafiyetini giderdi.
Apple, saldırganların iPhone’ları, iPad’leri ve Mac’leri hacklemek için vahşi doğada istismar ettiği yeni bir 0-day zafiyetine yönelik güvenlik güncellemeleri yayımladı.
Apple’ın onardığı kritik seviyedeki 0-day, siber tehdit aktörlerinin rastgele kod yürütmesine olanak sağlıyordu.
SALDIRGANLAR SİSTEMDE RASTGELE KOD YÜRÜTÜYOR
CVE-2022-22620 kodlu ve 8,4’lük kritiklik seviyesine sahip 0-day uzak bir saldırganın savunmasız sistem güvenliğini aşmasına olanak sağlıyordu. Zafiyet, WeBkit’te HTML içeriği işlenirken ortaya çıkan use-after-free hatasından kaynaklanıyor. Uzak bir saldırgan, kurbana özel amaçlarla oluşturulmuş bir web sayfasını ziyaret etmesi için kandırabilir, use-after-free hatasını tetikleyebilir ve sistemde rastgele kod yürütebilir.
Güvenlik zafiyetinden başarılı bir şekilde yararlanılması, bir saldırganın iOS ve iPadOS işletim sistemlerinin güvenlik açığı bulunan sürümlerini çalıştıran iPhone ve iPad’lerde rastgele kod yürütmesine olanak tanıyor.
Apple’ın yaptığıaçıklamadaysa, “Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkındadır.” ifadeleri kullanıldı.
GÜNCELLEMELER ACİLEN YÜKLENMELİ
Söz konusu zafiyet birçok modeli etkilediğinden, etkilenen cihazlar arasında iPhone 6s ve üstü, iPad Pro’nun tüm modelleri, iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil), Big Sur ve macOS Monterey çalıştıran Mac’ler bulunuyor.
Apple’ın giderdiği 0-day muhtemelen yalnızca hedefli saldırılarda kullanılmış olsa da olası saldırı girişimlerini engellemek için güncellemelerin mümkün olan en kısa sürede yüklenmesi tavsiye ediliyor.
Filistinli karşıt görüşten grupların benzer hackleme araçları kullanarak aralarında Türkiye’nin bulunduğu ülkelerdeki iOS cihazlarını hedef aldığı ortaya çıktı.
Söz konusu grupların siber operasyonlarını öncelikli olarak Filistin’e ve Suriye’ye düzenlediği Türkiye, Irak, Lübnan ve Libya’da da birtakım faaliyetlerle bulunduğu tespit edildi.
Ülkede birbirinden bağımsız iki hacker grubunun Facebook üzerinden sosyal mühendislik teknikleri kullanmak suretiyle hedeflerindeki kişileri bir dizi kötü niyetli yazılıma yönlendirdiği tespit edildi.
Filistin’de rakip siyasi partiler arasındaki çekişme, Gazze Şeridi ve Batı Şeria’daki hackleme faaliyetlerini artırmış durumda. İsrail-Filistin çatışması devam ederken Filistinli hackerlar küresel sahnede giderek daha fazla boy gösteriyor. Facebook, 2019-2020 yıllarına ait Filistinli hackerların ön ayak olduğu iki dijital casusluk kampanyasını ortaya çıkardı. Siber saldırının, iOS’u hedef alan casus yazılımlar da dahil olmak üzere bir dizi cihaz ve platformdan yararlandığı biliniyor.
Birbirinden bağımsız hareket eden iki grup, farklı amaçlara hizmet ediyor. Ancak her iki grup da hem kurbanları kimlik avı sayfalarına yönlendirmek için sıçrama noktası olarak kullandıkları Facebook gibi sosyal medya platformlarını hem de diğer kötü niyetli web sitelerini kullanıyor.
EL FETİH KARŞITI AKTİVİSTLER HEDEFTE
Araştırmacılar, saldırganların bir kısmının Batı Şeria’yı yöneten El Fetih’e bağlı istihbarat grubu Filistin Önleyici Güvenlik Servisi ile ilişkili olduğunu ileri sürüyor. Bu grubun ön ayak olduğu siber operasyon, öncelikli olarak Filistin topraklarını ve Suriye’yi hedef alıyor ayrıca Türkiye, Irak, Lübnan ve Libya’da da birtakım faaliyetlerle bulunuyor. Hackerların büyük ölçüde insan hakları gruplarıyla El Fetih karşıtı aktivistleri, gazetecileri ve Irak ordusu ile Suriye muhalefetinin de dahil olduğu birtakım yapıları hedef aldığı düşünülüyor.
HAMAS İLE BAĞLANTILI HACKERLARIN HEDEFİNDE EL FETİH VAR
Diğer grup Hamas ile ilişkili olduğu bilinen Arid Viper. Bu grup ise Fetih hareketinin siyasi parti üyeleri, hükümet yetkilileri, güvenlik güçleri ve öğrencilere odaklanmış durumda. Arid Viper, kimlik avı saldırıları gerçekleştiren, iOS ve Android kötü amaçlı yazılımlarını barındıran veya bu kötü amaçlı yazılımlar için komut ve kontrol sunucusu olarak işlev gören yüzlerce web sitesi de dahil olmak geniş çaplı bir saldırı alt yapasına sahip.
FACEBOOK ORTAYA ÇIKARDI
Facebook’un Siber Casusluk Araştırmalarının başında bulunan Mike Dvilyanski ve Küresel Tehditi Engellemeden Sorumlu Başkanı David Agranovich konuyla ilgili kalem aldıkları bir blog yayınında şunları ifade etti: “Her iki kampanyayı bozguna uğratmak için hesaplarını kapattık, saldırıları ile ilişkili alan adlarını engelledik ve bu gruplar tarafından hedef alındığını düşündüğümüz kişileri haberdar ettik. Söz konusu saldırılardan haberdar olmaları ve bunları durdurabilmeleri için anti-virüs topluluğu da dahil olmak üzere sektör ortaklarımızla bilgi paylaşımı yaptık”
Filistin Önleyici Güvenlik Servisi ile bağlantılı olan grubun sosyal medyada aktif olduğu ve çoğunlukla genç kadın profili içeren karakterler oluşturmak için hem çalıntı hem de sahte hesaplar kullandığı biliniyor.
KİMLİK AVI İÇİN CASUS YAZILIM KULLANIYORLAR
Alınan bilgiye göre grup, kurbanlara saldırmak için hem “hazır” kötü amaçlı yazılımları hem de güvenli bir sohbet uygulaması gibi görünen kendi Android casus yazılımlarını kullandı. Söz konusu sohbet uygulaması; arama kayıtlarını, konumu, iletişim bilgilerini, SMS mesajlarını ve cihazın kılavuz bilgilerini topluyor. Ayrıca bazen şifre kırıcı da kullanıyor. Saldırganların ayrıca halkın kullanımına açık Android ve Windows Kötü Amaçlı yazılımları da kullandıkları biliniyor. Araştırmacıların elinde ayrıca saldırganların yayınlanması için yazılarını göndermek isteyen gazetecileri hedef alan ve Windows’ta kullanılabilecek sahte bir içerik yönetim platformu oluşturduğuna dair kanıtlar da var. Uygulama tam olarak işe yaramasa da Windows Kötü Amaçlı yazılımlarıyla birlikte geldiği biliniyor.
Arid Viper’ın da, operasyonu kapsamında Android ve Windows Kötü amaçlı yazılımlarıyla birlikte sosyal mühendislik ve Kimlik Avı taktiklerini kullandığı belirtildi. Grup, kurbanlarına karşı yoğun gözetim öngören Phenakite adlı özel bir iOS zararlı yazılım geliştirdi. Saldırganlar, kurbanı üçüncü taraf bir app Store’u veya Phenakite’i sunan başka bir siteyi ziyaret etmeye yönlendirmekteydi. Kurban, burada içinde Phenakite’in saklı olduğu Magic Smile adlı bir iOS sohbet uygulaması kuracaktı. Kurulumdan sonra, kötü amaçlı yazılım, sistem erişimini artırmak için herkese açık bir jailbreak kullanmak suretiyle, cihazdaki kısıtlamaları uzaktan kaldırabilecekti.
Araştırmacılar, Phenakite üzerinden yüksek oranda kurban hedef alındığını belirlediler. Ayrıca Arid Viper’ın Phenakite geliştirmiş olabileceği, zira hedeflerinin önemli bir kısmının iPhone kullandığı belirtiliyor.
Facebook’un Çin menşeli bir casusluk kampanyasına yönelik soruşturması, aralarında Türkiye’nin de olduğu ülkelerde yaşayan Uygur topluluğunun gözetlendiğini ortaya çıkardı. Saldırıda adı geçen hacker grubunun Türk ve Uygur haber sitelerini taklit eden sahte web siteleri aracılığıyla siber saldırılar gerçekleştirdiği biliniyor.
Geçtiğimiz çarşamba günü Facebook, başta Türkiye, Avustralya, Kanada, Kazakistan, Suriye ve ABD olmak üzere Çin dışındaki ülkelerde yaşayan Uygur topluluğunu hedef alan bir siber casusluk operasyonu tespit ettiklerini açıkladı. Facebook, siber faaliyetlerin Uygurları hedef alma noktasında kötü bir şöhrete sahip olan Çinli hacker grubu “Evil Eye” kökenli olduğunu belirtti.
2020’in ortalarında Facebook, kendi hizmetlerine yönelik gerçekleştirilen saldırılarla ilgili az da olsa kanıt bulmuştu. Bu kanıtlar; öğrenciler, aktivistler, gazeteciler ve potansiyel kurbanlarla iletişim kurmaya ve onlarla zararlı linkler paylaşmaya çalışan ve küresel Uygur topluluğunun üyeleri gibi davranan hesapları içermekteydi. Facebook araştırmacıları, bu kanıtların peşinden giderek Evil Eye’ın zararlı yazılımları yaymak ve Uygur Türklerinin faaliyetlerini izlemeyi içeren daha geniş kapsamlı faaliyetlerine ulaştı.
HEDEFTE UYGURLARIN OLDUĞUNDAN EMİN OLMAK İÇİN BÜYÜK ÇABA SARFEDİYORLAR
Facebook’un siber casusluk soruşturmalarının başında bulunan Mike Dvilyanski, ”Bunu hedefi son derece belli olan bir operasyon olduğunu görüyoruz.” açıklamasında bulundu ve ekledi: “Belirli azınlık topluluklarını hedefe almışlar ve bu faaliyetin hedeflerinin coğrafi konum, konuştukları diller veya kullandıkları işletim sistemleri gibi belirli kriterlere uyduğundan emin olmak için sıkı kontroller gerçekleştirmişler.”
Earth Empusa ve PoisonCarp olarak da bilinen hacker grubu, Uygurlara yönelik gerçekleştirilen acımasız siber saldırılarla biliniyor. Grubun imza attığı son saldırısı 2019’da başladı ve Çin’in Kovid-19 kısıtlamalarına gittiği 2020’nin başlarında hız kazandı.
HABER SİTELERİNİ TAKLİT EDEREK ZARARLI YAZILIM DAĞITIYORLAR
Facebook, Evil Eye’ın hedeflere ulaşma noktasında sergilediği çok sayıda yaklaşım tespit etmiş durumda. Grup, popüler Uygur ve Türk medya kuruluşlarını taklit eden sahte web siteleri oluşturdu ve bunlar aracılığıyla kötü amaçlı yazılım dağıttı. Ayrıca, yurt dışında yaşayan Uygurların güvendiği bir takım yasal web sitelerini hackleyerek kötü amaçlı yazılımları yaymak için kullandılar.
Çinli hackerlar, Uygurları takip etmek daha önce de Watering Hole adı verilen saldırı tekniğini kullanmışlardı. Watering Hole, popüler bir web sitesinin hacklenmesi ve buraya gelen ziyaretçilerin zafiyetlerinden faydalanarak ziyaretçilerin hesaplarına sızılmasını öngören bir saldırı.
Araştırmacılar ayrıca, topluluk odaklı klavye, sözlük ve dua uygulamaları gibi Uygurların sıklıkla kullandığı uygulamaların popüler kaynaklarına benzeyecek şekilde oluşturulmuş sahte Android Uygulama mağazalarını da tespit etti. Bu kötü amaçlı uygulama mağazaları, ActionSpy ve PluginPhantom olarak bilinen iki Android kötü amaçlı yazılım kanalıyla casus yazılım dağıttı.
Siber casusluk Araştırma Ekibi, Evil Eye’ın operasyonlarında kullanılan kötü amaçlı Android yazılımlarının kaynağının Beijing Best United Technology Co. Ltd. ve Dalian 9rush Technology Co. Ltd. adlı iki yazılım geliştirme şirketine kadar uzandığını keşfetti. Facebook, tehdit önleme platformu Fireeye’nin araştırmasının bu bağlantıların keşfine katkıda bulunduğunu açıklarken Evil Eye ile Çin Hükümeti arasında bir bağlantı olduğuna dair resmi bir açıklama yapmadı.
ÇİN HÜKÜMETİ İLE BAĞLANTILI OLDUKLARI DÜŞÜNÜLÜYOR
Facebook’un Güvenlik Politikası Başkanı Nathaniel Gleicher, “Söz konusu operasyona ilişkin zararlı yazılım geliştirme şirketlerine net bağlantıları ve saldırılara dayalı coğrafi ilişkilendirmeyi görebiliyoruz, ancak operasyonun arkasında kimin olduğunu kanıtlayamıyoruz.” diyor.
Fireeye’a bağlı Mandiant Tehdit Önleme Analiz Direktörü Ben Read ise yaptığı açıklamada, “Bu operasyonun, Uygur azınlığı siber casusluk faaliyetleri ile sık sık hedef alan Çin hükümetini desteklemek için gerçekleştirildiğine inanıyoruz. Aynı hackerların, Çin hükümetinin Hong Kong’daki Tibetliler ve aktivistler gibi rejim için tehdit olarak görülen diğer grupları da hedef aldığı biliniyor.” ifadelerini kullanıdı.
Araştırmacılar grubun faaliyetlerini mümkün olduğunca gizlemeye özen gösterdiğini ve bazı durumlarda cihazları casus yazılım yerleştirmeden önce potansiyel hedefleri değerlendirmek için büyük çaba sarf ettiğini vurguluyor. Örneğin, iOS kötü amaçlı yazılım dağıtımı söz konusu olduğunda, saldırganların hedefin gerçekten Uygur topluluğunun bir üyesi olduğundan emin olmak için IP adreslerine, tarayıcılarına, işletim sistemlerine ve bölge ve dil cihaz ayarlarına bakmak da dahil olmak üzere tüm potansiyel hedeflere dair teknik bir değerlendirme yaptıkları biliniyor.
Gleicher, birçok casusluk kampanyası gibi, bu operasyonun da hedefi oldukça belli bir saldırı olduğunu, söz konusu topluluğu hedef aldıklarından emin olmak istediklerini ifade etti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Hong Kong’daki Çin yönetimine karşı düzenlenen eylemlerde WhatsApp kullanan aktivistlerin telefonlarına protestoları daha rahat koordine etmeyi sağlayan bir program hakkında tanıtım mesajı ulaştı. Tanıtım adresine tıklayan göstericilerin indirdiği programın, muhtemelen Çin hükümeti tarafından geliştirilmiş, kullanıcıların telefonlarını hackleyen zararlı bir yazılım olduğu ortaya çıktı. San Francisco’daki Lacoon Mobile Security şirketi müşterilerinin ağlarında olağan dışı trafik gözlemleyince bu sahte programı incelemeye aldı. Programın veri gönderdiği sitelerin izini süren şirket araştırmacıları Iphone’lardan bilgi çalabilen nadir rastlanan bir zararlı yazılım ile karşılaştı.
Program Iphone’a yüklendiği andan itibaren telefondaki rehber, mesajlaşma, arama kayıtları ve fotoğraflara ulaşabiliyor. Telefondaki kayıtları oynatma ve bilgileri başka bir adrese gönderme kabiliyetine sahip bu program Iphonelar’ın en hassas bölgelerinden birine, uygulamalar, email ve satın alma bilgilerinin bulunduğu anahtar dizinine erişiyor.
Hem iOS’un hem de Android’in zayıf noktaları var. iOS çalıştıran telefonları hacklemek kolay değil ancak, eğer telefonlar Apple’ın koyduğu, ne tür uygulamaların çalıştırılacağına ilişkin, engelleri aşması için kırıldıysa, başka bir deyişle ‘’jailbrake’’sürecinden geçirildiyse, bu mümkün. Zararlı yazılımın sinyal yolladığı siteyi inceleyen Lacoon şirketi araştırmacıları, yazılımın ‘’emir komuta’’ sunucusunun Çince yazıldığını gözlemlemiş. Programla ilgili, şirketin kurucularından ve CEO’su Michael Shaulov, ‘’Ne iOS’u hedef alan böylesine karmaşık bir şey ne de Çin izi taşıyan böyle bir şey görmemiştik’’ dedi. Shaulov’a göre bu veriler hackerların Çin hükümeti ile çalışıyor olabileceklerini işaret ediyor. Çin konsolosluğu konu hakkında yorum yapmadı.
Her ne kadar Lacoon bune benzer bir zararlı yazılımla daha önce karşı karşıya gelmediyse de, bu başka araştırmacılar için geçerli değil. Dallas merkezli siber istihbarat şirketi iSight Partners’tan John Hultquist’e gore, program Çin istihbarat servisinin Tibetli aktivistleri hedef alan casusluk yöntemlerine benzer. Geçen sene hackerlar Çin’deki Uygur topluluğunun bir konferansa katılan üyelerine uygulama gibi görünen zararlı yazılım yolladı. Programı kullananlar konferansla ilgili bilgileri gördüler, ancak yazılım arka planda telefon kayıtlarını ve telefonun mikrafonu ile çevrede konuşulanları kaydetti.
Mobil cihazlar için geliştirilen casusluk yazılımları öyle başarılı ki, Çin hükümeti ve ordusunun birbiri ile yarışan iki farklı yazılımı var. Hultquist durumu ‘’ Çin istihbarat toplama faailyetleri askeri bölgeler boyunca ilerliyor. Bu konuda çalışan bir çok grup olduğu görülüyor’’ şeklinde açıklıyor.
iSight, Çin haricinde Rus casusluk grubu Tsar Team’in de izini sürüyor. Grup ABD hükümet görevlilerinin, savunma şirketlerinin ve enerji şirketi yöneticilerini mobil casusluk yolu ile hedef almış. Grup Hultquist’e göre ABD ve AB ağlarında hareket eden grup cihatçıları hedef alıyor. Hultquist bu durumu ‘’Bir Çeçen cihatçıyı hedef almanın, telefonlarını dinleyip GPS ile yerini belirlemenin ne kadar da önemli bir araç olduğunu görebilirsiniz’’ şeklinde yorumladı.
Lacoon şirketi Hong Kong’da kullanılan programın iOS’u nasıl kırdığını belirleyemedi. Bir teoriye göre hackerlar Iphonelar’ın henüz bilinmeyen bir zayıflığını kullanarak cihazlara uzaktan erişebiliyorlar. Holtquist’a göre bu teori sadece bir spekülasyon, ancak yine de fikir olarak korkutucu.
