bencede
New member
Güvenlik araştırmacıları Çarşamba günü 37C3’e, dört yıl içinde çoğu Moskova merkezli güvenlik firması Kaspersky’nin çalışanlarına ait olan düzinelerce hatta binlerce iPhone’u tehlikeye atan bir saldırı hakkında yeni ayrıntılar yayınladı. Nirengi Operasyonu adı verilen kampanya geçen yaz bildirildi.
Duyuru
En önemli haberlerden biri de şimdiye kadar bilinmeyen saldırganların benzeri görülmemiş ve yaygın bir boyuta erişim sağladığıdır. Apple ve ARM Holdings gibi çip teknolojisi tedarikçileri dışında pek kimsenin bilmediği, belgelenmemiş bir donanım özelliğini kullanıyorlardı.
Kaspersky araştırmacısı Boris Larin, Ars Technica’ya şunları söyledi: “Bu açığın karmaşıklığı ve işlevin belirsizliği, saldırganların gelişmiş teknik yeteneklere sahip olduğunu gösteriyor.” “Analizimiz, saldırganların bu işlevsellikten nasıl haberdar olduklarını ortaya çıkarmadı, ancak donanım yazılımının veya kaynak kodunun eski sürümlerinin yanlışlıkla ifşa edilmesi de dahil olmak üzere tüm olasılıkları araştırıyoruz.” Ayrıca, donanıma tersine mühendislik yaparak bu özelliği keşfetmiş olabilirler.
Dört sıfır gün yıllarca istismar edildi
Larin, bir yıllık yoğun araştırmadan sonra bile diğer soruların cevapsız kaldığını söylüyor. Saldırganların bu donanım özelliğini nasıl öğrendikleri bir yana, araştırmacılar hala bu özelliğin amacının tam olarak ne olduğunu bilmiyorlar. Ayrıca özelliğin iPhone’un yerel bir parçası mı olduğu yoksa ARM’in CoreSight’ı gibi üçüncü taraf bir donanım bileşeni tarafından mı etkinleştirildiği de bilinmiyor.
Rus hükümet yetkililerine göre, arka kapı kampanyası Rusya’daki binlerce diplomatik misyon ve büyükelçilik çalışanının iPhone’larını da etkiledi. Kaspersky’ye göre enfeksiyonlar, alıcının müdahale etme fırsatına sahip olmadığı (“sıfır tıklama”) karmaşık bir açıklardan yararlanma zinciri yoluyla kötü amaçlı yazılım yükleyen iMessage mesajları yoluyla en az dört yıllık bir süreye yayıldı.
Üçgenleme istismar zinciri.
(Resim: Kaspersky)
Sonuç olarak cihazlara, diğer şeylerin yanı sıra mikrofon kayıtlarını, fotoğrafları, konum bilgilerini ve diğer hassas verileri cihazlardan saldırganlar tarafından kontrol edilen sunuculara aktaran çok sayıda casus yazılım bulaştı. Her ne kadar enfeksiyonlar iPhone’un yeniden başlatılmasından sonra hayatta kalamadıysa da, bilinmeyen saldırganlar kısa bir süre sonra cihazlara yeni bir virüs bulaşmış iMessage göndererek kampanyalarını canlı tuttular.
37C3’teki sunuma göre, üçgenleme kötü amaçlı yazılımı için toplam dört kritik sıfır gün güvenlik açığından yararlanıldı. Dördü de güncellendi: CVE-2023-32434, CVE-2023-38606, CVE-2023-32435 ve CVE-2023-41990. Sıfır gün ve üçgenlemeden yararlanan gizli donanım özelliği yalnızca iPhone’larda değil, Mac’lerde, iPod’larda, iPad’lerde, Apple TV’de ve Apple Watch’ta da bulundu. Ayrıca Kaspersky tarafından keşfedilen güvenlik açıklarından bu cihazlar üzerinde çalışmak için kasıtlı olarak yararlanıldı. Apple ayrıca etkilenen diğer platformlar için de yamalar sağladı ancak bunun dışında olay hakkında yorum yapmaktan kaçındı. Bir enfeksiyonu tespit etmek son derece zordu ancak Kaspersky bunun nasıl mümkün olabileceğine dair bilgi sağlıyor.
Haberin Sonu
Duyuru
En önemli haberlerden biri de şimdiye kadar bilinmeyen saldırganların benzeri görülmemiş ve yaygın bir boyuta erişim sağladığıdır. Apple ve ARM Holdings gibi çip teknolojisi tedarikçileri dışında pek kimsenin bilmediği, belgelenmemiş bir donanım özelliğini kullanıyorlardı.
Kaspersky araştırmacısı Boris Larin, Ars Technica’ya şunları söyledi: “Bu açığın karmaşıklığı ve işlevin belirsizliği, saldırganların gelişmiş teknik yeteneklere sahip olduğunu gösteriyor.” “Analizimiz, saldırganların bu işlevsellikten nasıl haberdar olduklarını ortaya çıkarmadı, ancak donanım yazılımının veya kaynak kodunun eski sürümlerinin yanlışlıkla ifşa edilmesi de dahil olmak üzere tüm olasılıkları araştırıyoruz.” Ayrıca, donanıma tersine mühendislik yaparak bu özelliği keşfetmiş olabilirler.
Dört sıfır gün yıllarca istismar edildi
Larin, bir yıllık yoğun araştırmadan sonra bile diğer soruların cevapsız kaldığını söylüyor. Saldırganların bu donanım özelliğini nasıl öğrendikleri bir yana, araştırmacılar hala bu özelliğin amacının tam olarak ne olduğunu bilmiyorlar. Ayrıca özelliğin iPhone’un yerel bir parçası mı olduğu yoksa ARM’in CoreSight’ı gibi üçüncü taraf bir donanım bileşeni tarafından mı etkinleştirildiği de bilinmiyor.
Rus hükümet yetkililerine göre, arka kapı kampanyası Rusya’daki binlerce diplomatik misyon ve büyükelçilik çalışanının iPhone’larını da etkiledi. Kaspersky’ye göre enfeksiyonlar, alıcının müdahale etme fırsatına sahip olmadığı (“sıfır tıklama”) karmaşık bir açıklardan yararlanma zinciri yoluyla kötü amaçlı yazılım yükleyen iMessage mesajları yoluyla en az dört yıllık bir süreye yayıldı.
Üçgenleme istismar zinciri.
(Resim: Kaspersky)
Sonuç olarak cihazlara, diğer şeylerin yanı sıra mikrofon kayıtlarını, fotoğrafları, konum bilgilerini ve diğer hassas verileri cihazlardan saldırganlar tarafından kontrol edilen sunuculara aktaran çok sayıda casus yazılım bulaştı. Her ne kadar enfeksiyonlar iPhone’un yeniden başlatılmasından sonra hayatta kalamadıysa da, bilinmeyen saldırganlar kısa bir süre sonra cihazlara yeni bir virüs bulaşmış iMessage göndererek kampanyalarını canlı tuttular.
37C3’teki sunuma göre, üçgenleme kötü amaçlı yazılımı için toplam dört kritik sıfır gün güvenlik açığından yararlanıldı. Dördü de güncellendi: CVE-2023-32434, CVE-2023-38606, CVE-2023-32435 ve CVE-2023-41990. Sıfır gün ve üçgenlemeden yararlanan gizli donanım özelliği yalnızca iPhone’larda değil, Mac’lerde, iPod’larda, iPad’lerde, Apple TV’de ve Apple Watch’ta da bulundu. Ayrıca Kaspersky tarafından keşfedilen güvenlik açıklarından bu cihazlar üzerinde çalışmak için kasıtlı olarak yararlanıldı. Apple ayrıca etkilenen diğer platformlar için de yamalar sağladı ancak bunun dışında olay hakkında yorum yapmaktan kaçındı. Bir enfeksiyonu tespit etmek son derece zordu ancak Kaspersky bunun nasıl mümkün olabileceğine dair bilgi sağlıyor.
Haberin Sonu