- 10 Ağu 2022
- 101
- 62
Merhaba TurkHackTeam üyeleri, bugunki konumuz casus yazılım başlıklı bilgilendirme yazısı.
Google'ın Tehdit Analiz Grubu (TAG), geçen yıl ele alınan bir dizi sıfır gün güvenlik açığının ticari casus yazılım satıcıları tarafından Android ve iOS cihazlarını hedeflemek için kullanıldığını ortaya çıkardı.
"Gözetleme teknolojilerinin kullanımı ulusal veya uluslararası yasalar kapsamında yasal olsa da, hükümetler tarafından genellikle muhalifleri, gazetecileri, insan hakları çalışanlarını ve muhalefet partisi politikacılarını hedef almak için kullanıldığı tespit edildi."
İki operasyondan ilki Kasım 2022'de gerçekleşti ve İtalya, Malezya ve Kazakistan'da bulunan kullanıcılara SMS mesajları üzerinden kısaltılmış bağlantılar göndermeyi içeriyordu.
Tıklandıktan sonra URL'ler, alıcıları yasal haberlere veya gönderi izleme web sitelerine yeniden yönlendirilmeden önce Android veya iOS için açıklardan yararlanan web sayfalarına yönlendirdi.
iOS açıklardan yararlanma zinciri, duyarlı cihaza bir .IPA dosyası yüklemek için CVE-2022-42856 (o zaman sıfır gün), CVE-2021-30900 ve bir işaretçi kimlik doğrulama kodu (PAC) atlaması dahil olmak üzere birden çok hatadan yararlandı.
Android istismar zinciri, belirtilmemiş bir yük sağlamak için üç istismardan oluşuyordu: CVE-2022-3723, CVE-2022-4135 (kötüye kullanım sırasında sıfır gün) ve CVE-2022-38181.
Mali GPU Çekirdek Sürücüsünü etkileyen bir ayrıcalık yükseltme hatası olan CVE-2022-38181, Ağustos 2022'de Arm tarafından yamalanırken, yamanın yayınlanmasından önce rakibin kusur için bir istismara sahip olup olmadığı bilinmiyor.
Bir diğer dikkat edilmesi gereken nokta ise, linke tıklayıp Samsung İnternet Tarayıcısında açan Android kullanıcılarının, Intent Redirection isimli bir yöntemle Chrome'a yönlendirilmiş olması.
Aralık 2022'de gözlemlenen ikinci kampanya, açıklardan yararlanmaların SMS yoluyla Birleşik Arap Emirlikleri'nde bulunan cihazlara tek seferlik bağlantılar olarak iletildiği Samsung İnternet Tarayıcısının en son sürümünü hedefleyen birkaç sıfır gün ve n günden oluşuyordu.
İspanyol casus yazılım şirketi Variston IT tarafından kullanılanlara benzer web sayfası, sonunda sohbet ve tarayıcı uygulamalarından veri toplayabilen C++ tabanlı kötü amaçlı bir araç seti yerleştirdi.
Yararlanılan kusurlar CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 ve CVE-2023-26083.
Açıklamalar, ABD hükümetinin federal kurumların ulusal güvenlik riski oluşturan ticari casus yazılımları kullanmasını kısıtlayan bir yürütme emrini duyurmasından sadece birkaç gün sonra geldi.
