Apple, karmaşık bir saldırıda kullanıldıktan 3 sıfır gün sonra yama yapıyor.
Google ve Citizen Lab araştırmacıları Cuma günü yaptığı açıklamada, Apple'ın Mısırlı bir başkan adayının iPhone'una ticari bir istismar satıcısı tarafından geliştirilen karmaşık casus yazılımları bulaştırmak için kullanılan güçlü bir iOS sıfır gün zincirini yamaladığını söyledi.
Apple'ın Perşembe günü yamaladığı, önceden bilinmeyen güvenlik açıkları tıklamasız saldırılarda kullanıldı; bu, hedefin daha güvenli HTTPS alternatifi yerine HTTP protokolünü kullanan bir web sitesini ziyaret etmekten başka herhangi bir adım atmasını gerektirmediği anlamına geliyor. Mısır'daki bir araştırma grubu olan Citizen Lab'a göre, Mısır'daki bir hücresel ağ üzerinde bulunan bir paket inceleme cihazı, hedeflenen adayın telefonundan gelen bağlantıları izliyordu ve tespit edildiğinde onu istismar zincirini ileten bir siteye yönlendiriyordu. Toronto Üniversitesi Munk Okulu.
Kötü adamlardan oluşan bir kadro, 30 gün ve güvenliği ihlal edilmiş bir hücre ağı
Citizen Lab, saldırının Mısır hükümetinin katılımıyla, Cytrox olarak bilinen bir şirket tarafından satılan Predator olarak bilinen casus yazılımla ve Mısır merkezli Sandvine tarafından satılan donanımla mümkün olduğunu söyledi. Kampanya, Mart ayında cumhurbaşkanlığına aday olduğunu açıklayan Mısır Parlamentosu'nun eski bir üyesi olan Ahmed Eltantawy'yi hedef aldı. Citizen Lab, son saldırıların Eltantawy'nin iPhone'una en azından üçüncü saldırı olduğunu söyledi. Bunlardan biri 2021'de başarılı oldu ve Predator'ı da yükledi.
"Bir ülkenin demokratik muhalefetinin üst düzey bir üyesini, başkanlığa aday olma niyetini açıkladıktan sonra hedef almak için paralı casus yazılım kullanılması, özgür ve adil seçimlere açık bir müdahaledir ve ifade, toplanma ve özel hayatın gizliliği haklarını ihlal eder." Citizen Lab araştırmacıları Bill Marczak, John Scott-Railton, Daniel Roethlisberger, Bahr Abdul Razzak, Siena Anstis ve Ron Deibert 4.200 kelimelik bir rapor yazdı. “Bu aynı zamanda paralı casus yazılım firmalarının satışlarını kamuya açık bir şekilde gerekçelendirme biçimleriyle de doğrudan çelişiyor.”
İOS 16.7 ve iOS 17.0.1 sürümlerinde yamalı olan güvenlik açıkları şu şekilde izlenir:
- CVE-2023-41993: Safari'de ilk uzaktan kod yürütme
- CVE-2023-41991: PAC bypass'ı
- CVE-2023-41992: XNU Çekirdeğinde yerel ayrıcalık yükseltme
Google'ın Tehdit Analizi Grubu üyeleri tarafından Cuma günü yayınlanan araştırmaya göre, iOS'un güvenlik açıklarından yararlanan saldırganlar, aynı Predator casus yazılımını Android cihazlara yüklemek için de ayrı bir istismara sahipti. Google, kendisine DarkNavy adını veren bir araştırma grubunun raporunu aldıktan sonra 5 Eylül'de kusurları düzeltti.
Google Tehdit Analizi Grubu'ndan araştırmacı Maddie Stone, "TAG, bu istismarların iki farklı şekilde gerçekleştirildiğini gözlemledi: MITM enjeksiyonu ve doğrudan hedefe gönderilen tek seferlik bağlantılar aracılığıyla." "CVE-2023-4762'den yararlanan Chrome için yalnızca ilk oluşturucu uzaktan kod yürütme güvenlik açığını elde edebildik."
Saldırı karmaşıktı. Üç ayrı iOS güvenlik açığından yararlanmanın yanı sıra, Sandvine olarak bilinen bir üretici tarafından üretilen donanıma da güveniyordu. PacketLogic markası şemsiyesi altında satılan donanım, hedeflenen iPhone'un eriştiği hücresel ağ üzerinde bulunuyor ve telefonu için üzerinden geçen trafiği izliyordu. Hassasiyete rağmen Citizen Lab, Apple'ın geçen yıl iOS'a eklediği Kilitleme olarak bilinen bir özelliğin kullanıcılar tarafından etkinleştirilmesiyle saldırının engellendiğini söyledi. Bunun hakkında daha sonra daha fazla bilgi vereceğiz.
Bir hedef, kötü amaçlı kodu barındıran bir siteyi ziyaret ettiğinde otomatik olarak tetiklenmesi dışında iOS istismar zinciri hakkında çok az bilgi var. Bu noktaya varıldığında, açıklardan yararlananlar başka bir kullanıcı işlemi gerektirmeden Predator'ı yükledi.
iPhone'u gizlice saldırı sitesine yönlendirmek için yalnızca herhangi bir HTTP sitesini ziyaret etmesi gerekiyordu. Geçtiğimiz beş yıl boyunca HTTPS, web sitelerine bağlanmanın baskın yolu haline geldi çünkü kullandığı şifreleme, ortadaki saldırganların site ile ziyaretçi arasında gönderilen verileri izlemesini veya değiştirmesini engelliyor. HTTP siteleri hâlâ mevcuttur ve bazen HTTPS bağlantıları şifrelenmemiş HTTP bağlantılarına düşürülebilir.
Eltantawy bir HTTP sitesini ziyaret ettiğinde PacketLogic cihazı, Apple cihazını gizlice istismar zincirini tetikleyen bir siteye bağlayan trafiğe veri enjekte etti.
 |
| Telecom Egypt ve Vodafone Egypt arasındaki bağlantıda bulunan Spyware Injection Middlebox'ı gösteren ağ şeması. |
Saldırıda kurulan Predator yükü, aralarında Ermenistan, Mısır, Yunanistan, Endonezya, Madagaskar, Umman, Suudi Arabistan ve Sırbistan'ın da bulunduğu çok çeşitli hükümetlere satılıyor. Citizen Lab, Predator'ın, Türkiye'de sürgünde yaşayan Mısırlı siyasi muhalefet üyesi Ayman Nour'u ve popüler bir haber programına ev sahipliği yapan ve isminin gizli kalmasını isteyen Mısırlı sürgün gazeteciyi hedef almak için kullanıldığını söyledi. Geçtiğimiz yıl Cisco'nun Talo güvenlik ekibinden araştırmacılar, kötü amaçlı yazılımın bir ikili dosyasını aldıktan sonra, kötü amaçlı yazılımın iç işleyişini ortaya çıkardı.
Gizemi çözmek
Citizen Lab araştırması, orta kutu cihazının tamamen devlete ait olan Telecom Egypt ağının mı yoksa çoğunluk hissesi Vodacom'a ait olan Vodafone Egypt ağının dış ucunda mı bulunduğu sonucuna varmadı. Ancak çeşitli faktörler araştırmacıların Sandvine cihazının Telecom Egypt ağının dış ucunda olduğu yönünde spekülasyon yapmasına neden oldu. Araştırmacılar şunları yazdı:
Yalnızca teknik verilerden orta kutunun bağlantının Telekom Mısır tarafında mı yoksa Vodafone Mısır tarafında mı olduğu sonucuna varamayız. Ancak bunun Vodafone Mısır ağında olduğundan şüpheleniyoruz çünkü enjeksiyonun tek bir Vodafone abonesine tam olarak hedeflenmesi Vodafone'un abone veri tabanıyla entegrasyon gerektirecektir.
Ayrıca, enjeksiyonun Mısır'da yapıldığı, casus yazılımın devlet kurumlarına satıldığı ve Mısır'ın bilinen bir Predator müşterisi olduğu göz önüne alındığında, bu hedeflemenin gerçekleşmiş olması ve bu kurulumun Mısırlı yetkililerin yetki alanı dışında kurulmuş olması pek olası değildir.
Partinin iPhone'u yönlendirmek için kullanılan PacketLogic cihazını kullanarak atfedilmesi de zorlaştı. Normalde araştırmacılar, Eltantawy'nin virüslü telefonundan trafiği gönderip nihai varış noktasına ulaşmak için izlediği yolu haritalandırırdı. Muhtemelen iyi huylu trafik yönetimi için kullanılmış olan ayrı bir orta kutu, araştırmacıların virüslü telefondan gönderdiği trafiğin orta kutuda sonlandırılması nedeniyle bu yöntemi uygulanamaz hale getirdi.
Araştırmacılar daha az geleneksel bir yaklaşıma başvurdular.
Enjektörde, kontrol ettiğimiz bir ölçüm sunucusundan enjeksiyonun "tersine" lokalizasyonunu belirlememizi sağlayan iki tasarım seçeneği belirledik. İlk olarak enjektör, aldığı IP TTL değerlerini enjekte ettiği paketlere kopyalayarak varlığını maskelemeye çalışır. İkincisi, bir istemciye bir sunucudan "yanıt" enjekte ederken, enjektör sunucunun TTL'sini bir TCP bağlantısı için gördüğü ilk SYN/ACK'nin TTL'si olarak alır ve sonraki SYN/ACK'lerdeki TTL değerlerini göz ardı eder.
Bu iki tasarım seçeneği birlikte, enjektörü müşteriye TTL = 1 paketi enjekte etmek üzere "hazırlamak" için ölçüm sunucumuzu kullanmamıza olanak tanır. Bunu yapmak için, ölçüm sunucumuz bir SYN'ye TTL = 1 ile enjektöre ulaşan bir SYN/ACK göndererek yanıt verir ve ardından trafik yönetimi orta kutusuna ulaşacak şekilde biraz daha yüksek TTL ile bir takip SYN/ACK göndererek işlemi tamamlar. Bağlantıyı kurar ve trafik yönetimi orta kutusunun, enjeksiyonu tetikleyen HTTP GET isteğini göndermesine neden olur.
HTTP GET isteği enjektöre ulaştığında, enjektör istemciye TTL = 1 olan bir paket gönderir. Enjektör istemciye doğrudan bitişik olmadığından, enjektörün hemen aşağısındaki yönlendirici paketin süresinin dolduğunu belirleyecek ve bildirimde bulunacaktır. enjekte edilen paketin göndereni. Enjektör, ölçüm sunucumuzdan gelecek paketi taklit ettiğinden, yönlendirici kendisini bize tanıtır ve ölçüm sunucumuza paketin süresinin dolduğunu bildirir.
 |
| Citizen Lab'ın PacketLogic Middlebox'ı IP TTL değeri 1 olan bir HTTP 307 yönlendirmesi içeren bir paketi enjekte etmeye nasıl zorladığını gösteren diyagram. Paketin bir kısmı sonuçta bir ICMP Zaman Aşımı mesajıyla döndürüldü ve araştırmacıların alt akış yönündeki bir sonraki atlama noktasını belirlemesine olanak tanıdı. kurban. |
Eltantawy, kendisini çeşitli kötü amaçlı sitelere çekmeye çalışan SMS mesajlarıyla da hedef alındı.
 |
| Hedeflenen iPhone'a gönderilen kötü amaçlı metinler. |
24 Haziran12 Temmuz
İyi akşamlar, Bay Ahmed Tantawy
Ben FIDH insan hakları örgütünden Angie Raouf.
Ortadoğu'daki seçimlerle ilgili bir örnek çalışma yapıyordum ve size [[ LINK ]] ve hükümetin aday Ahmed Tantawi'ye yönelik tacizinin olup olmadığını sormak istedim.
Çok teşekkür ederim
Bu Angie Raouf. Uluslararası İnsan Hakları Federasyonu FIDH'de çalışıyorum, Orta Doğu'daki seçimlerle ilgili bir çalışma yapıyordum ve Mısır'ı örnek olay olarak almak istedim. Mısır'da seçim var mı, yoksa sadece bir komedi oyunu mu?
İzin verirseniz Mısır rejimine karşı olanların da görüşlerini almak isterim.
Başlangıçta Wael Qandeel'in yazdığı bir makaleyle başlamak istiyorum ve bu makale hakkında ne düşünüyorsunuz [[ LINK ]]
Sizce seçimler komik bir oyuna dönüşmesin diye nasıl yapılmalı?
Adil olmasa da seçim istedim ama ne yazık ki bunu seçim olarak bile göremiyorum.
Çok meşgul olduğunuzu biliyorum ama araştırmamda bana yardımcı olursanız minnettar olurum.
Apple cihazlarına kötü amaçlı yazılım saldırılarını engelleme
Daha önce de belirtildiği gibi, iPhone, iPad veya macOS cihazlarının saldırganların hedefinde olabileceğinden endişe duyan herkes, cihazlarında Kilitleme modunu her zaman etkinleştirebilir. Bu özelliğin açılması, cihazın e-posta veya metinlerdeki ekleri almak veya kullanıcının kişiler listesinde olmayan kişilerden FaceTime aramaları almak gibi kötü amaçlı yazılım saldırılarında en sık suiistimal edilen özellikleri kullanmasını engeller. Güvenlik açısından bu yaklaşım, cihazın saldırı yüzeyini önemli ölçüde azaltır.
Bunu iPhone'lar ve iPad'ler için yapmak için:
- Ayarlar uygulamasını açın.
- Gizlilik ve Güvenlik'e dokunun.
- Aşağı kaydırın, Kilitleme Modu'na ve ardından Kilitleme Modunu Aç'a dokunun.
- Kilitleme Modunu Aç'a dokunun.
- Aç ve Yeniden Başlat'a dokunun, ardından cihazınızın parolasını girin.
Mac'te akış şöyledir:
- Apple menüsü > Sistem Ayarları'nı seçin.
- Kenar çubuğunda Gizlilik ve Güvenlik'i tıklayın.
- Aşağı kaydırın, Kilitleme Modu'nu ve ardından Aç'ı tıklayın.
- Kilitleme Modunu Aç'a tıklayın. Kullanıcı şifresini girmeniz gerekebilir.
- Aç ve Yeniden Başlat'a tıklayın.
Android'in birçok kişinin kilitleme olarak adlandırdığı bir modu olsa da bu özellik, cihazının kilidini açmak için biyometrik kullanmak yerine yalnızca birisinin şifresini kullanmasını gerektiriyor. Android için kilitleme, diğer saldırı yüzeylerini azaltmaz.
Güvenlik güncellemelerini mümkün olan en kısa sürede yüklemeniz her zaman tavsiye edilir.
Bu kampanyada hedef alındıklarını düşünen kişiler, aşağıdaki URL'lerden herhangi birine bağlantı alıp almadıklarını veya cihazlarının aşağıdaki URL'lerden herhangi birini ziyaret edip etmediğini kontrol etmelidir:
- Sec-flare[.]com
- Verifyurl[.]me
- Betly[.]me
- almal-news[.]com
- chat-support[.]support
- cibeg[.]online
- notifications-sec[.]com
- wa-info[.]com
- whatssapp[.]co
- Wts-app[.]info
- T-bit[.]me
Entaltawy'yi başarıyla enfekte etmek için harcanan beceri, para ve çaba, her cihaza virüs bulaşabileceğinin düşündürücü bir hatırlatıcısıdır. Bununla birlikte çoğu insan bu tür saldırılarda asla hedef alınmayacak. Eltantawy'ye karşı kullanılanlara benzer istismar zincirleri genellikle milyonlarca dolara satılıyor. Bu durumda, istismar aynı zamanda ayrı bir istismar veya içeriden birinin katılımı yoluyla hücresel ağın güvenliğinin aşılmasını da gerektiriyordu. Böyle bir kampanya gün yüzüne çıktığında saldırganların sıfırdan başlaması gerekiyor. Açıklardan yararlanmanın yüksek fiyatı ve kırılganlığı, saldırganları hedef seçerken son derece seçici kılıyor.
Gerekli olan kaynaklar oldukça fazladır ve bunun gibi saldırıların toplu olarak üretilmesini engeller.
