Siber Muhbir

Hedeflerden biri haline geldikten sonra 2023'ün başında kampanyayı keşfeden Rus siber güvenlik firması Kaspersky, bunu bugüne kadar gözlemlediği "en gelişmiş saldırı zinciri" olarak nitelendirdi. Kampanyanın 2019'dan beri aktif olduğuna inanılıyor.

Üçgenleme Operasyonu, adını, cihazın hafızasında Web Grafik Kitaplığı (WebGL) ile pembe bir arka plan üzerine sarı bir üçgen çizmek için tuval parmak izi adı verilen bir parmak izi tekniğinin kullanılmasından alır.

İstismar faaliyeti, benzeri görülmemiş düzeyde erişim elde etmek için bir zincir halinde şekillendirilmiş dört sıfır gün kusurunun kullanılmasını ve nihai hedefi hassas bilgileri toplamak olan iOS 16.2'ye kadar iOS sürümlerini çalıştıran cihazları hedef almayı içeriyordu.

Sıfır tıklama saldırısının başlangıç noktası, sonuçta yükseltilmiş izinler elde etmek ve bir casus yazılım modülü dağıtmak için herhangi bir kullanıcı etkileşimi olmadan otomatik olarak işlenen kötü amaçlı bir ek taşıyan bir iMessage'dır. Özellikle, aşağıdaki güvenlik açıklarının silahlandırılmasını içerir -

• CVE-2023-41990 - FontParser bileşeninde, iMessage aracılığıyla gönderilen özel hazırlanmış bir font dosyası işlenirken rastgele kod yürütülmesine neden olabilecek bir kusur. (iOS 15.7.8 ve iOS 16.3'te ele alınmıştır)
• CVE-2023-32434 - Çekirdekte, kötü amaçlı bir uygulama tarafından çekirdek ayrıcalıklarıyla rastgele kod yürütmek için kullanılabilecek bir tamsayı taşması güvenlik açığı. (iOS 15.7.7, iOS 15.8 ve iOS 16.5.1'de ele alınmıştır)
• CVE-2023-32435 - WebKit'te özel hazırlanmış web içeriği işlenirken rastgele kod yürütülmesine neden olabilecek bir bellek bozulması güvenlik açığı. (iOS 15.7.7 ve iOS 16.5.1'de ele alınmıştır)
• CVE-2023-38606 - Çekirdekte, kötü amaçlı bir uygulamanın hassas çekirdek durumunu değiştirmesine izin veren bir sorun. (iOS 16.6'da ele alınmıştır)

CVE-2023-41990 yamalarının Apple tarafından Ocak 2023'te yayınlandığını belirtmekte fayda var, ancak istismarla ilgili ayrıntılar şirket tarafından yalnızca 8 Eylül 2023'te, bir Pegasus casus yazılım kampanyasıyla bağlantılı olarak aktif olarak kötüye kullanılan diğer iki kusuru (CVE-2023-41061 ve CVE-2023-41064) çözmek için iOS 16.6.1'i yayınladığı gün kamuoyuna açıklandı.

Bu aynı zamanda, yılın başından bu yana Apple tarafından çözülen aktif olarak istismar edilen sıfır gün sayısının sayısını 20'ye çıkarıyor.

Başlangıçta enfeksiyon dizisinin CVE-2022-46690'ı da içerdiğine inanılırken, şirket o zamandan beri durumun artık böyle olmadığını belirledi. CVE-2022-46690, IOMobileFrameBuffer'da sahte bir uygulama tarafından çekirdek ayrıcalıklarıyla rastgele kod yürütmek için silah haline getirilebilecek yüksek önem derecesine sahip sınır dışı yazma sorununu ifade eder. Aralık 2022'de Apple tarafından düzeltildi.

Kaspersky, "Çok geçmeden, bu saldırıda istismar edilen çekirdek güvenlik açığının CVE-2022-46690 değil, daha önce bilinmeyen bir sıfır gün olduğunu fark ettik" dedi. "Tüm bilgileri Apple ile paylaştık, bu da yalnızca bir değil, dört sıfır gün güvenlik açığının çözülmesine yol açtı."

Dört güvenlik açığından CVE-2023-38606, şimdiye kadar hiç bilinmeyen veya belgelenmemiş bir özellik olan bellek eşlemeli G/Ç (MMIO) kayıtlarından yararlanarak çekirdek belleğinin hassas bölgeleri için donanım tabanlı güvenlik korumasının atlanmasını kolaylaştırdığı için özel olarak anılmayı hak ediyor.

İstismar, özellikle Apple A12-A16 Bionic SoC'leri hedef alıyor ve GPU yardımcı işlemcisine ait bilinmeyen MMIO kayıt bloklarını seçiyor. Operasyonun arkasındaki gizemli tehdit aktörlerinin varlığını nasıl öğrendiği şu anda bilinmiyor. Ayrıca, Apple tarafından mı yoksa ARM CoreSight gibi üçüncü taraf bir bileşen mi olduğu da belirsiz.

Başka bir deyişle, CVE-2023-38606, tehdit aktörünün güvenliği ihlal edilmiş sistemin tam kontrolünü ele geçirmesine izin verdiği gerçeği göz önüne alındığında, Üçgenleme Operasyonu kampanyasının başarısıyla yakından iç içe geçmiş istismar zincirindeki çok önemli bir bağlantıdır.

Güvenlik araştırmacısı Boris Larin, "Tahminimiz, bu bilinmeyen donanım özelliğinin büyük olasılıkla Apple mühendisleri veya fabrika tarafından hata ayıklama veya test amacıyla kullanılması amaçlandı veya yanlışlıkla dahil edildi" dedi. "Bu özellik ürün yazılımı tarafından kullanılmadığından, saldırganların onu nasıl kullanacaklarını nasıl bilecekleri hakkında hiçbir fikrimiz yok."

"Donanım güvenliği genellikle 'belirsizlik yoluyla güvenliğe' dayanır ve tersine mühendislik yapmak yazılımdan çok daha zordur, ancak bu kusurlu bir yaklaşımdır, çünkü er ya da geç tüm sırlar ortaya çıkar. "Belirsizlik yoluyla güvenliğe" dayanan sistemler asla gerçekten güvenli olamaz."

Gelişme, Washington Post'un Apple'ın Ekim ayı sonlarında Hintli gazetecilerin ve muhalif politikacıların devlet destekli casus yazılım saldırıları tarafından nasıl hedef alınmış olabileceğine dair uyarılarının, hükümeti iddiaların doğruluğunu sorgulamaya ve bunları teknoloji devinin sistemlerinde "algoritmik bir arıza" vakası olarak tanımlamaya sevk ettiğini bildirdi.

Buna ek olarak, üst düzey yönetim yetkilileri, şirketin uyarıların siyasi etkisini yumuşatmasını talep etti ve şirkete uyarıların neden gönderilmiş olabileceğine dair alternatif açıklamalar yapması için baskı yaptı. Şimdiye kadar Hindistan, NSO Group'un Pegasus'unkiler gibi casus yazılımları kullandığını ne doğruladı ne de reddetti.

Ancak Uluslararası Af Örgütü, Hindistan'daki önde gelen gazetecilerin iPhone'larında "Pegasus casus yazılım faaliyetinin izleri" bulduğunu söyledi ve "tekrarlanan ifşaatlara rağmen, Hindistan'da Pegasus casus yazılımının kullanımı konusunda utanç verici bir hesap verebilirlik eksikliği olduğunu ve bunun yalnızca bu insan hakları ihlalleri üzerindeki cezasızlık duygusunu yoğunlaştırdığını" belirtti.

Washington Post, konuyla ilgili bilgisi olan kişilere atıfta bulunarak, "Hintli yetkililerin Apple'dan uyarıları geri çekmesini ve bir hata yaptığını söylemesini istediğini" ve "Apple Hindistan'ın kurumsal iletişim yöneticilerinin, dikkatleri hükümetten uzaklaştırmak için Hintli teknoloji gazetecilerinden hikayelerinde Apple'ın uyarılarının yanlış alarmlar olabileceğini vurgulamalarını özel olarak istemeye başladığını" belirtti.