Rus siber güvenlik firması Kaspersky, ağındaki bazı iPhone'ların iMessage Zero-Click istismarları aracılığıyla kötü amaçlı yazılım yükleyen bir iOS güvenlik açığı kullanılarak saldırıya uğradığını söyledi.
Mesajın teslimi, herhangi bir kullanıcı etkileşimi gerektirmeden kod yürütülmesine yol açan ve saldırganların sunucusundan ek kötü niyetli indirilmesine yol açan bir güvenlik açığından yararlanır.
Daha sonra, mesaj ve ek cihazdan silinir. Aynı zamanda, yük geride kalır, sistem ve kullanıcı bilgilerini toplamak ve saldırganlar tarafından gönderilen komutları yürütmek için kök ayrıcalıklarıyla çalışır.
Kaspersky, kampanyanın 2019'da başladığını ve saldırıların hala devam ettiğini bildirdi. Siber güvenlik firması kampanyayı "Operasyon Üçgenleme" olarak adlandırdı ve bu konuda daha fazla bilgi sahibi olan herkesi bilgi paylaşmaya davet ediyor.
IOS'u cihazdan analiz etmek imkansız olduğundan Kaspersky, saldırı süreci ve kötü amaçlı yazılım işlevi hakkında bilgi kurtarmak için enfekte iPhone'ların dosya sistemi yedeklemelerini oluşturmak için mobil doğrulama araç setini kullandı.
Kötü amaçlı yazılım, saldırıların izlerini cihazlardan silmeye çalışırken, iOS güncellemelerinin, anormal veri kullanımının ve kullanımdan kaldırılan kütüphanelerin enjeksiyonunu önleyen sistem dosyası modifikasyonları gibi hala enfeksiyon belirtileri bırakır.
Analiz, ilk enfeksiyon belirtilerinin 2019'da gerçekleştiğini ve kötü amaçlı araç seti tarafından enfekte olan en son iOS sürümünün 15.7 olduğunu ortaya koydu.
Bu kötü amaçlı yazılım saldırılarında kullanılan güvenlik açığını zaten düzeltmiş olabilecek en son ana iOS sürümünün 16.5 olduğunu unutmayın.
IMessage aracılığıyla gönderilen istismar, iOS'ta kod yürütmeyi gerçekleştirmek için bilinmeyen bir güvenlik açığını tetikler ve ayrıcalık artış istismarları da dahil olmak üzere saldırganın sunucusundan sonraki aşamalar getirir.
Güvenlik firması, güvenlik yöneticilerinin tarihi DNS günlüklerini cihazlarında olası sömürü belirtileri için kontrol etmek için kullanabileceği bu kötü niyetli etkinlik ile ilişkili 15 alan adının bir listesini sağlamıştır.
Kök imtiyazının artmasından sonra, kötü amaçlı yazılım, sistem ve kullanıcı bilgilerini toplamak ve C2'den ek modüller indirmek için komutlar yürüten tam özellikli bir araç seti indirir.
Kaspersky, cihaza düştüğü APT araç setinin kalıcılık mekanizmaları olmadığını, bu nedenle yeniden başlatmanın etkili bir şekilde durduracağını belirtiyor.
Şu anda, son yükün analizi devam etmekte olduğundan, kötü amaçlı yazılımların işlevleri hakkında sadece birkaç ayrıntı kamuya açıklandı.
Kaspersky'nin raporuna denk gelen bir açıklamada, Rusya'nın FSB istihbarat ve güvenlik ajansı, Apple'ın NSA'ya kasıtlı olarak ülkedeki iPhone'ları casus yazılımlarla enfekte etmek için kullanabileceği bir arka kapı sağladığını iddia ediyor.
FSB, Rus hükümeti içindeki yetkililere ait binlerce Apple iPhone'da kötü amaçlı yazılım enfeksiyonları ve İsrail, Çin ve Rusya'daki birkaç NATO üyesi ülkeden personelde kötü amaçlı yazılım enfeksiyonları keşfettiğini iddia ediyor.
İddiaların ciddiyetine rağmen, FSB iddialarının kanıtını sunmamıştır.
Rus devleti daha önce tüm başkanlık yönetim çalışanlarının ve üyelerinin Apple iPhone'ları kullanmaktan ve mümkünse Amerikan yapımı teknolojiyi tamamen bırakmasını önermişti.
Kaspersky, BleepingComputer'a saldırının Moskova'daki merkez ofisini ve diğer ülkelerdeki çalışanları etkilediğini doğruladı. Yine de, şirket, hükümetin soruşturmasının teknik ayrıntılarına sahip olmadıkları için bulgusu ile FSB'nin raporu arasında bir bağlantıyı doğrulayacak bir konumda olmadığını belirtti.
Ancak, Rusya'nın CERT, FSB'nin ifadesini Kaspersky'nin raporuna bağlayan bir uyarı yayınladı.
BleepingComputer, hem Kaspersky'nin bulguları hem de FSB'nin iddiaları hakkında bir yorum talep etmek için Apple ile iletişime geçti, ancak hala bir yanıt almayı bekliyoruz.
GÜNCELLEME 6/2 - Bir Apple sözcüsü BleepingComputer'a aşağıdaki yorumu gönderdi:
Hiçbir Hükümet ile herhangi bir Apple ürününe bir arka kapı eklemek için çalışmadık ve asla yapmayacak.
Görünmez takvim aracılığıyla hacklenen iPhone'lar, dörtlü casus yazılımları bırakmak için davet ediyor
Google Play'den 421 milyon kez yüklü casus yazılımlı Android uygulamaları
Yeni Rus bağlantılı yeni kozmikenerji kötü amaçlı yazılım hedefleri endüstriyel sistemler
CISA, Govt Ajanslarına Saldırılardan Sömürülen İPhone Hataları Yamaya Sıralaması
Apple, iPhone'ları, Mac'leri hacklemek için sömürülen üç yeni sıfır gününü düzeltir
Kaynak: Bleeping Computer