Siber Muhbir

Bulgular, 2023'ün dördüncü çeyreğine ilişkin Çekişmeli Tehdit Raporunun bir parçasıdır. Casus yazılım iOS, Android ve Windows cihazlarını hedef aldı.

Şirket, "Çeşitli kötü amaçlı yazılımları, cihaz bilgilerini, konumu, fotoğrafları ve medyayı, kişileri, takvimi, e-postayı, SMS'i, sosyal medyayı ve mesajlaşma uygulamalarını toplama ve bunlara erişme ve mikrofon, kamera ve ekran görüntüsü işlevselliğini etkinleştirme yeteneklerini içeriyordu" dedi.

Sekiz şirket Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group ve Mollitiam Industries'dir.

Meta'ya göre bu firmalar ayrıca Facebook, Instagram, X (eski adıyla Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch ve Telegram gibi çok çeşitli platformları hedef alan kazıma, sosyal mühendislik ve kimlik avı faaliyetlerinde bulundu.

Özellikle, Cy4Gate'in sahibi olduğu RCS Labs ile bağlantılı hayali kişilerden oluşan bir ağın, keşif yapmak için sahte bağlantılara tıklamanın yanı sıra kullanıcıları telefon numaralarını ve e-posta adreslerini vermeleri için kandırdığı söyleniyor.

İspanyol casus yazılım satıcısı Variston IT ile ilişkili başka bir Facebook ve Instagram hesabı grubu, kötü amaçlı bağlantıların paylaşılması da dahil olmak üzere istismar geliştirme ve test için kullanıldı. Geçen hafta, şirketin faaliyetlerini durdurduğuna dair haberler ortaya çıktı.

Meta ayrıca, Negg Group tarafından casus yazılımının dağıtımını test etmek için kullanılan hesapların yanı sıra kamuya açık bilgileri kazımak için Windows, macOS ve Android'i hedefleyen bir veri toplama hizmeti ve casus yazılımın reklamını yapan bir İspanyol firması olan Mollitiam Industries tarafından kullanılan hesapları tespit ettiğini söyledi.

Başka yerlerde, sosyal medya devi, Facebook ve Instagram'dan 2.000'den fazla hesabı, Sayfayı ve Grubu kaldırarak Çin, Myanmar ve Ukrayna'dan koordineli özgün olmayan davranış (CIB) sergileyen ağlara karşı harekete geçti.

Çin kümesi, ABD'nin Tayvan ve İsrail'e yönelik dış politikasına yönelik eleştiriler ve Ukrayna'ya verdiği destekle ilgili içeriklerle ABD'li izleyicileri hedef alırken, Myanmar kaynaklı ağ, Myanmar ordusunu öven ve etnik silahlı örgütleri ve azınlık gruplarını aşağılayan orijinal makalelerle kendi sakinlerini hedef aldı.

Üçüncü küme, Ukraynalı politikacı Viktor Razvadovskyi'yi destekleyen içerikler yayınlamak için sahte Sayfalar ve Gruplar kullanması ve aynı zamanda Kazakistan'daki "mevcut hükümet hakkında destekleyici yorumlar ve muhalefet hakkında eleştirel yorumlar" paylaşmasıyla dikkat çekiyor.

Gelişme, Meta'yı da sayan hükümet ve teknoloji şirketlerinden oluşan bir koalisyonun, insan hakları ihlalleri işlemek için ticari casus yazılımların kötüye kullanılmasını engellemek için bir anlaşma imzalamasıyla geldi.

Karşı önlem olarak şirket, istismarı zorlaştırmak ve genel saldırı yüzeyini azaltmak amacıyla Android için Messenger'da etkinleştirilmiş Kontrol Akışı Bütünlüğü (CFI) ve WhatsApp için VoIP bellek yalıtımı gibi yeni özellikler sundu.

Bununla birlikte, gözetim endüstrisi sayısız beklenmedik biçimde gelişmeye devam ediyor. Geçen ay, İrlanda Sivil Özgürlükler Konseyi'nin (ICCL) Kasım 2023'te yaptığı önceki araştırmalara dayanan 404 Media, mobil cihazları izlemek için 9gag, Truecaller ve Kik gibi popüler uygulamalardan toplanan gerçek zamanlı teklif verme (RTB) reklam verilerinden yararlanan Patternz adlı bir gözetim aracının maskesini düşürdü.

"Patternz, ulusal güvenlik kurumlarının, kullanıcıların davranışlarına, konum modellerine ve mobil kullanım özelliklerine dayalı olarak kullanıcı eylemlerini, güvenlik tehditlerini ve anormallikleri tespit etmek, izlemek ve tahmin etmek için gerçek zamanlı ve geçmiş kullanıcı reklamcılığı tarafından oluşturulan verileri kullanmasına izin veriyor.

Ardından geçen hafta Enea, Pegasus üreticisi NSO Group tarafından kullanıldığı iddia edilen MMS Parmak İzi olarak bilinen ve daha önce bilinmeyen bir mobil ağ saldırısını tamamladı. Teknikle ilgili ayrıntılar, İsrailli şirket ile Gana'nın telekom düzenleyicisi arasında 2015 yılında yapılan bir sözleşmeye dahil edildi.

Kullanılan yöntemin tam olarak ne olduğu bir sır olarak kalsa da, İsveçli telekom güvenlik firması bunun muhtemelen MM1_notification kullanımını içerdiğinden şüpheleniyor. REQ, Multimedya İleti Servisi Merkezi'nden (MMSC) alınmayı bekleyen bir MMS'i alıcı aygıta bildiren, ikili SMS adı verilen özel bir SMS mesajı türüdür.

MMS daha sonra MM1_retrieve yoluyla getirilir. REQ ve MM1_retrieve. RES, ilki MM1_notification'de bulunan URL adresine yapılan bir HTTP GET isteğidir. REQ mesajı.

Bu yaklaşımla ilgili dikkate değer olan şey, User-Agent (bir web tarayıcısı User-Agent dizesinden farklı) ve x-wap-profile gibi kullanıcı cihaz bilgilerinin GET isteğine gömülü olması ve böylece bir tür parmak izi görevi görmesidir.

Enea, "(MMS) Kullanıcı Aracısı, genellikle işletim sistemini ve cihazı tanımlayan bir dizedir" dedi. "x-wap-profile, bir cep telefonunun yeteneklerini açıklayan bir UAProf (Kullanıcı Aracısı Profili) dosyasına işaret ediyor."

Casus yazılım dağıtmak isteyen bir tehdit aktörü, bu bilgileri belirli güvenlik açıklarından yararlanmak, kötü amaçlı yüklerini hedef cihaza uyarlamak ve hatta daha etkili kimlik avı kampanyaları oluşturmak için kullanabilir. Bununla birlikte, bu güvenlik açığının son aylarda vahşi doğada istismar edildiğine dair hiçbir kanıt yok.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.