bencede
New member
5 Zero-Day Exploits: Predator durum truva atının iç işleyişine dair içgörüler
ABD ağ sağlayıcısı Cisco Systems’ın BT güvenlik kolu Cisco Talos, devlete ait Trojan Predator’ın nasıl çalıştığına dair yeni ayrıntılar yayınladı. Casus yazılım, Yunanistan merkezli Intellexa konsorsiyumu ve yan kuruluşu Cytrox tarafından üretilir ve dağıtılır. Şimdiye kadar bilinen tek şey, yeteneklerinin İsrail merkezli NSO Group’un kötü şöhretli Pegasus casus yazılımına benzer olacağıydı. BT güvenlik araştırmacıları, Predator’ın virüs bulaştıktan sonra akıllı telefonlarda ve Google Android işletim sistemini çalıştıran diğer mobil cihazlarda nasıl pusuya yattığına ve depolanan bilgileri ve devam eden iletişimleri nasıl okuduğuna dair bir fikir veriyor.
Keyfi kod yürütüldü, sahte kapatma
Talos’un incelediği Predator bileşenleri, casus yazılımın yakındaki sesli ve sesli aramaları gizlice kaydedebildiğini, Signal ve WhatsApp gibi uygulamalardan veri toplayabildiğini ve diğer şeylerin yanı sıra programları gizleyebildiğini veya programların başlamasını engelleyebildiğini gösteriyor. Bir blog gönderisindeki uzmanlara göre, durum Truva Atı aynı zamanda isteğe bağlı kaynak kodu yürütme, güvenlik sertifikaları ekleme ve sistem ve yapılandırma verilerini okuma yeteneğine sahiptir. Ona göre, ekibin henüz yakından inceleyemediği diğer modüllerde konum izleme veya kamera erişimi gibi işlevler uygulanmış olabilir. Muhtemelen telefonun kapalı olduğu izlenimini verme seçeneği de vardır.
Geçen yıl, Google’ın Tehdit Analizi Grubu’ndaki (TAG) araştırmacılar, Predator’ın önceden bilinmeyen güvenlik açıklarından yararlanmak için beş ayrı sıfır gün açığını bir araya getirdiğini ortaya çıkardı. Bunlar, 2021’de keşfedilen ve tüm Google Chrome tarayıcılarını etkileyen CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 ve Linux ve Android’de CVE-2021-1048 güvenlik açıklarıdır. Casus yazılım, o sırada söylentiye göre Alien adlı bir bileşenle yakın çalıştı. Bu, “çoklu ayrıcalıklı işlemlere” bağlanır ve “Predator’dan emirler” alır.
Talos Group şimdi Predator ve Alien arasındaki “beceri örgüsünün kapsamını” ortaya koyuyor. İkinci modül, daha önce varsayıldığı gibi yalnızca gerçek casus yazılımın yüklenmesini sağlamakla kalmaz. Bunun yerine, her iki yapı taşı da SELinux gibi geleneksel Android güvenlik özelliklerini atlatmak için birlikte yakın bir şekilde çalıştı.
Diğer bileşenler – SELinux atlandı
Makaleye göre, bunu yapmanın bir yöntemi, Alien’ı Zygote “ana işlem” için ayrılmış bellek alanına yüklemektir. Zygote, belirli sistem kaynaklarını tüm uygulamalar için kullanılabilir hale getirir. Bu manevra, kötü amaçlı yazılımın toplanan verileri daha iyi yönetmesini sağlar. Alien, “Android izin modeli içindeki özel ayrıcalıklı işlemlere girmek için” diye yazıyor araştırmacılar “zigot adres alanına enjekte edildi”. Modül, kullanıcı kimliklerini değiştirebilir ve daha yüksek izinlere sahip diğer SELinux bağlamlarına geçebilir.
Önerilen editoryal içerik
İzninizle, harici bir anket (Opinary GmbH) buraya yüklenecektir.
Her zaman anketleri yükleyin
Anketi şimdi yükleyin
Uzmanlar, prensip olarak Alien ve Predator’ın Android ve iOS mobil cihazlarına karşı kullanılabileceğini açıklıyor. Analiz ettikleri bileşenler, Google ortamı için özel olarak geliştirildi. Apple işletim sisteminin bir muadili olmayacaktı. Ayrıcalıkları yükseltmek için casus yazılım, Quaileggs adlı bir yöntemi kullanacak şekilde yapılandırılır. Bu, büyük olasılıkla Eylül 2020 itibarıyla giderilmiş olan CVE-2021-1048 güvenlik açığından yararlanmaktadır. Ancak, bazı Google Pixel telefonlar Mart 2021’e kadar ve Samsung cihazlar en az Ekim 2021’e kadar savunmasız kalmıştır.
Talos ekibi, Predator’ın tcore ve kmem içeren en az iki başka bileşen içerdiğini varsayar. İkincisi bazen Quaileggs’e alternatif olarak kullanılır. tcore Python modülü, “tüm başlatma işlemleri tamamlandıktan sonra” ana öğelerden biri olan Loader.py tarafından yüklenir. Ancak, araştırmacıların bu bileşenlere erişimi yoktu.
“Özellikle çok yönlü ve tehlikeli” Truva atları
Talos genel olarak, casus yazılım satıcılarının nihai yükün tespit edilmesini, analiz edilmesini ve önlenmesini zorlaştırmak için büyük çaba sarf ettiğini söylüyor. “Genellikle çok az kullanıcı etkileşimi gerektiren veya hiç gerektirmeyen” dizilerle ilgileniyorlar. Predator en az 2019’dan beri var ve yeni güvenlik açıklarından yararlanmak zorunda kalmadan yeni Python tabanlı modülleri dağıtabilecek şekilde tasarlandı. Bu, Trojan’ı “özellikle çok yönlü ve tehlikeli” yapar. Analiz, geliştiricilerin daha iyi savunma teknikleri geliştirmelerinin yanı sıra casus yazılımları tespit edip işlevlerini engellemelerine yardımcı olmak için tasarlanmıştır.
Aylardır Intellexa’nın ana ürünü, Avrupa Parlamentosu Pegasus soruşturma komisyonu tarafından da araştırılan Yunan casus skandalının merkezinde yer alıyor. Toronto Üniversitesi’ndeki Citizen Lab’daki casus yazılım avcılarına göre, İsrail kökenli üretici programı Ermenistan, Mısır, Endonezya, Madagaskar, Umman, Suudi Arabistan ve Sırbistan’a da sattı. Bu ülkede hack otoritesi Zitis’in devlet truva atıyla ilgilendiği yılın başından beri biliniyor.
(iki)
Haberin Sonu