Siber Muhbir

Apple tarafından 21 Eylül 2023'te ele alınan üç sıfır gün kusuru, Mayıs ve Eylül 2023 arasında eski Mısır milletvekili Ahmed Eltantawy'yi hedef alan Predator adlı bir casus yazılım türünü teslim etmek amacıyla bir iPhone istismar zincirinin parçası olarak kullanıldı.

Citizen Lab, "Hedefleme, Eltantawy'nin 2024 Mısır seçimlerinde Cumhurbaşkanlığına aday olma planlarını kamuoyuna açıklamasının ardından gerçekleşti" dedi ve saldırıyı, ticari casusluk aracının bilinen bir müşterisi olması nedeniyle Mısır hükümetine büyük bir güvenle bağladı.

Kanada disiplinlerarası laboratuvarı ve Google'ın Tehdit Analiz Grubu (TAG) tarafından yürütülen ortak bir soruşturmaya göre, paralı asker gözetim aracının SMS ve WhatsApp üzerinden gönderilen bağlantılar aracılığıyla teslim edildiği söyleniyor.

"Ağustos ve Eylül 2023'te, Eltantawy'nin Vodafone Mısır mobil bağlantısı, ağ enjeksiyonu yoluyla hedefleme için ısrarla seçildi; Eltantawy, HTTPS kullanmayan belirli web sitelerini ziyaret ettiğinde, Vodafone Mısır ağının sınırına kurulan bir cihaz, telefonuna Cytrox'un Predator casus yazılımını bulaştırmak için onu otomatik olarak kötü amaçlı bir web sitesine yönlendirdi" dedi.

Yararlanma zinciri, kötü niyetli bir aktörün sertifika doğrulamasını atlamasına, ayrıcalıkları yükseltmesine ve özel hazırlanmış bir web içeriğini işledikten sonra hedeflenen cihazlarda uzaktan kod yürütmesine olanak tanıyabilecek CVE-2023-41991, CVE-2023-41992 ve CVE-2023-41993 olmak üzere üç güvenlik açığından yararlandı.

Cytrox adlı bir şirket tarafından yapılan Predator, NSO Group'un Pegasus'una benzer ve müşterilerinin ilgilendikleri hedefleri gözetlemesine ve güvenliği ihlal edilmiş cihazlardan hassas verileri toplamasına olanak tanır. Intellexa Alliance adlı casus yazılım satıcılarından oluşan bir konsorsiyumun parçası olan şirket, Temmuz 2023'te ABD hükümeti tarafından "baskı ve diğer insan hakları ihlalleri kampanyalarına olanak sağladığı" gerekçesiyle engellendi.

sec-flare[.] com, Eltantawy'nin c.betly[.] adlı bir web sitesine yönlendirilmesinden sonra teslim edildiği söyleniyor. Telecom Egypt ve Vodafone Egypt arasındaki bir bağlantıda bulunan Sandvine'in PacketLogic orta kutusunu kullanarak gelişmiş bir ağ enjeksiyon saldırısı yoluyla.

"Hedef web sitesinin gövdesi iki iframe içeriyordu, görünüşte iyi huylu yem içeriği içeren 'if1' kimliği (bu durumda casus yazılım içermeyen bir APK dosyasına bir bağlantı) ve sec-flare'de barındırılan bir Predator enfeksiyon bağlantısı içeren görünmez bir iframe olan 'if2' kimliği[.] com," dedi Citizen Lab.

Google TAG araştırmacısı Maddie Stone, bunu, kurbanı tehdit aktörü tarafından işletilen farklı bir siteyi ziyaret etmeye zorlamak ve engellemek için HTTP (HTTPS'nin aksine) kullanan bir web sitesine yapılan ziyaretten yararlanan bir ortadaki düşman (AitM) saldırısı vakası olarak nitelendirdi.

"Bu kampanya söz konusu olduğunda, hedef herhangi bir 'http' sitesine giderse, saldırganlar onları sessizce bir Intellexa sitesine yönlendirmek için trafik enjekte etti, c.betly[.] ben," diye açıkladı Stone. "Kullanıcı beklenen hedeflenen kullanıcıysa, site hedefi istismar sunucusuna, sec-flare[.] com."

Eltantawy, Eylül 2021, Mayıs 2023 ve Eylül 2023'te WhatsApp'tan güvenlik uyarıları gibi görünen ve Eltantawy'yi sözde bir Windows cihazından kaynaklanan şüpheli bir oturum açma oturumunu sonlandırmak için bir bağlantıya tıklamaya çağıran üç SMS mesajı aldı.

Bu bağlantılar, yukarıda belirtilen alan adının parmak iziyle eşleşmese de, soruşturma, Predator casus yazılımının Eltantawy'nin Eylül 2'de gönderilen mesajı okumasından yaklaşık 30 dakika 2021 saniye sonra cihaza yüklendiğini ortaya çıkardı.

Ayrıca 24 Haziran 2023 ve 12 Temmuz 2023'te Uluslararası İnsan Hakları Federasyonu (FIDH) için çalıştığını iddia eden bir kişinin web sitesine işaret eden bir makale hakkında görüşünü istediği iki WhatsApp mesajı aldı. .com. Mesajlar okunmadan bırakıldı.

Google TAG, Predator'ı Android cihazlarda iki yöntem kullanarak sunmak için Chrome web tarayıcısında (CVE-2023-4762) bir uzaktan kod yürütme kusurunu silah haline getiren bir istismar zinciri tespit ettiğini söyledi: AitM enjeksiyonu ve doğrudan hedefe gönderilen tek seferlik bağlantılar aracılığıyla.

V2023 motorunda bir tür karışıklık güvenlik açığı olan CVE-4762-8, 16 Ağustos 2023'te anonim olarak bildirildi ve 5 Eylül 2023'te Google tarafından yamalandı, ancak internet devi Cytrox/Intellexa'nın bu güvenlik açığını sıfırıncı gün olarak kullanmış olabileceğini değerlendiriyor.

NIST'in Ulusal Güvenlik Açığı Veritabanı'ndaki (NVD) kısa bir açıklamaya göre, CVE-2023-4762, "8.116.0.5845'dan önce Google Chrome'daki V179'de uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla rastgele kod yürütmesine izin veren bir tür karışıklığı" ile ilgilidir.

En son bulgular, sivil toplum üyelerini hedef almak için gözetim araçlarının kötüye kullanıldığını vurgulamanın yanı sıra, telekom ekosistemindeki ağ trafiğini engellemek ve hedeflerin cihazlarına kötü amaçlı yazılım enjekte etmek için kullanılabilecek kör noktaların altını çiziyor.

Citizen Lab, "Son yıllarda 'web'i şifrelemek' için büyük adımlar atılmış olsa da, kullanıcılar hala ara sıra HTTPS olmayan web sitelerini ziyaret ediyor ve HTTPS olmayan tek bir web sitesi ziyareti casus yazılım bulaşmasına neden olabilir" dedi.

"Kim oldukları veya ne yaptıkları" nedeniyle casus yazılım tehdidi riski altında olan kullanıcıların, bu tür saldırıları savuşturmak için cihazlarını güncel tutmaları ve iPhone'larda, iPad'lerde ve Mac'lerde Kilitleme Modu'nu etkinleştirmeleri önerilir.