NSO Grup ve Pegasus Uzaktan Kontrol Yazılımı

NSO Grup ve Pegasus Uzaktan Kontrol Yazılımı

Pegasus zararlı yazılımı, İsrailli siber güvenlik firması NSO Group tarafından geliştirilen, iOS ve Android işletim sistemlerini destekleyen neredeyse tüm cihazlara gizlice yüklenebilen bir casus yazılımdır. Bu yıl yapılan açıklamaya göre NSO Group, mevcut Pegasus yazılımının iOS 14.6'ya kadar olan tüm yeni iOS sürümlerine ait güvenlik açıklarından yararlanabileceğini gösteriyor. Washington Post ve diğer önde gelen medya kaynaklarına göre Pegasus, bir telefondan yapılan tüm iletişimlerin (metinler, e-postalar, web aramaları) tuş vuruşlarını izlemesini sağlamakla kalmıyor, aynı zamanda telefon görüşmesi ve konum takibini de sağlıyor. Böylece cep telefonunun mikrofonu ve kamerasını kullanarak onu sürekli bir gözetleme cihazına dönüştürüyor.

pegasus_9.jpg Pegasus kontrol paneline ait örnek görüntüde, daha önce sızılmış ve anlık takibi yapılan kişiler görülmektedir.

Şirket daha önce Amerikan özel sermaye şirketi Francisco Partners'a aitti. Daha sonra 2019'da kurucular tarafından geri satın alındı. NSO, "yetkili hükümetlere terör ve suçla mücadele etmelerine yardımcı olacak teknolojiler" sağladığını, müşterilerin ürünlerini yalnızca cezai ve ulusal güvenlik soruşturmalarında kullanmalarını gerektiren sözleşmelerin bölümlerini yayınladığını ve sektör lideri bir yaklaşıma sahip olduğunu belirtti. Casus yazılım, adını efsanevi kanatlı at Pegasus'tan almıştır; bu, telefonlara bulaşmak için "havada uçarak" gönderilebilen bir Truva atıdır.

Temmuz 2021'de, Pegasus Projesi'ne ait sızıntalardan elde edilen bilgilere göre ve medyada yaygın olarak yer alan insan hakları grubu olan Uluslararası Af Örgütü tarafından yapılan derinlemesine bir analiz, Pegasus'un hala yüksek profilli hedeflere karşı geniş çapta saldırılar gerçekleştirdiğini ortaya çıkardı. Pegasus'un en son sürüm olan iOS 14.6'ya kadar olan tüm modern iOS sürümlerine sıfır tıklamalı bir iMessage açığı aracılığıyla bulaşabildiğini gösterdi.

Cep Telefonunuzda NSO Pegasus Casus Yazılımı olduğunu, dinlendiğinizi nasıl anlarsınız?

İsrail'li NSO Group, Pegasus casus yazılımının sadece “Terör ve Suç araştırmalarında” kullanıldığını ve “hiçbir iz bırakmadığını” iddia ediyor. Adli Raporlar, bu ifadelerin hiçbirinin doğru olmadığını gösteriyor. Uluslararası Af Örgütü Güvenlik Laboratuvarı'nın teknik desteğiyle, 10 ülkedeki 17 medya kuruluşundan 80'den fazla gazeteciyi içeren ortak bir soruşturma olan Pegasus Projesi'nin yayınlanmasına eşlik ediyor. Güvenlik Laboratuvarı, dünyanın dört bir yanındaki çok sayıda mobil cihazın derinlemesine adli analizini yaptı. Araştırma, Pegasus Casus Yazılımı kullanılarak gerçekleştirilen yaygın, kalıcı ve devam eden yasadışı gözetim ve insan hakları ihlallerini ortaya çıkardı. Pegasus casus yazılımı ile hedeflemenin ardından iOS ve Android cihazlarda Pegasus enfeksiyonları ilk kez Ahmed Mansoor'u hedeflemek için 2016 yılında kullanıldı. Hedefle herhangi bir etkileşim gerektirmeyen “sıfır tıklama” saldırıları da dahildir.

Sıfır tıklama saldırıları Mayıs 2018'den beri gözlemlendi ve şimdiye kadar devam ediyor. Son zamanlarda, Temmuz 2021'de iOS 14.6 çalıştıran tamamen yamalı bir iPhone 12'ye saldırmak için birden fazla sıfır gününden yararlanan başarılı bir "sıfır tıklama" saldırısı gözlemlendi. Rapor Pegasus ağ altyapısının 2016'dan bu yana geçirdiği evrimi belgeliyor. NSO Group, birden fazla alan ve sunucu katmanı kullanarak saldırı altyapısını yeniden tasarladı. Altta örneklerini göreceksiniz. 2018'de Uluslararası Af Örgütü çalışanı ve Suudi aktivist Yahya Assiri'nin hedef alındığı keşfedildikten sonra yoğunlaştı . 2020'de Faslı bir gazeteciye karşı keşfedilen saldırılarla etkileşim ve sızmalar daha da doğrulandı. NSO Group'un müşterilerinin yıllar boyunca Pegasus istismar alanlarıyla SMS mesajları kullandığını belirledi. Sonuç olarak, Uluslararası Af Örgütü'nün 2019 raporunda belgelendi. Maati Monjib'in telefonuna yönelik analizlerden benzer mesajlar çıktı. Ancak, daha sonraki analizlerde Safari'nin tarama geçmişinde kaydedilen şüpheli yönlendirmeler fark edildi. Maati Monjib, Yahoo'yu ziyaret etmeye çalıştıktan sonra garip bir URL'ye yönlendirme fark edildi.

pegasus_1.png Maati Monjib'e ait telefon üzerinde yapılan incelemeye ait görüntü

URL HTTPS: //bun54l2b67.get1tn0w.free247downloads com [.]: 30.495/szev4hz standart dışı bir yüksek port numarası varlığı, kuşkulu görünen ve bağlantılar için rasgele bir tanım içindeki ihtiva NSO Group'un Pegasus'u ile bağlantılı olarak daha önce belgelenen SMS mesajlarında. Yukarıdaki tabloda görebileceğiniz gibi Yahoo ziyareti, hemen 16120 veritabanı kimliğine sahip bu şüpheli URL'ye yönlendirildi. Ağ enjeksiyon saldırıları sonucu olduğu bu yönlendirmeler belirlenen detay, mobil operatör yerleştirilen sahte baz istasyonları, ya da özel ekipman sayesinde olarak taktik cihazlar aracılığıyla gerçekleştirildi.

Aylar sonra, 2020 raporunda hedef alınan Faslı bağımsız gazeteci Omar Radi'nin iPhone'unu analiz edildiğinde, free247downloads[.]com alan adında da benzer kayıtlar bulundu. Safari geçmiş kayıtları genellikle kısa ömürlü olmasına ve birkaç ay sonra kaybolmasına rağmen (ayrıca potansiyel olarak kötü amaçlı yazılım tarafından kasıtlı olarak temizlenmiş), yine de NSO Group'un bulaşma alanlarını Safari'de görünmeyen diğer veritabanlarında bulundu.

pegasus_2.png Omar Radi'ye ait telefonun inceleme sonucu

Bu yönlendirmeler yalnızca hedef tarayıcı uygulamasıyla internette gezinirken değil, diğer uygulamaları kullanırken de gerçekleşti. Örneğin, bir vakada Uluslararası Af Örgütü, Omar Radi Twitter uygulamasını kullanırken bir ağ enjeksiyonu tespit etti. Zaman çizelgesinde paylaşılan bir bağlantı ön izlenirken, bir Safari Web Görünümü yüklemek için http://com.apple.SafariViewService hizmeti çağrıldı ve bir yeniden yönlendirme oluştu. WebKit depolamasında, IndexedDB klasörlerinde ve fazlasında free247downloads[.]com ve urlpush[.]net alan adlarını içeren ek kayıtları var . IndexedDB dosyaları, ağ enjeksiyonunun Pegasus Sunucusuna yeniden yönlendirilmesinden kısa bir süre sonra Safari tarafından oluşturulmuş. Ayrıca, Safari'nin Oturum Kaynağı günlükleri, Safari'nin tarama geçmişinde tutarlı bir şekilde görünmeyen ek izler sağlar. Safari'nin tam yönlendirme zincirlerini kaydetmediği ve yalnızca yüklenen son sayfayı gösteren geçmiş kayıtlarını tutabileceği anlaşılıyor. Analiz edilen telefonlardan kurtarılan Oturum Kaynağı günlükleri, ek hazırlama etki alanlarının, sonunda enfeksiyon sunucularına yol açan trambolinler olarak kullanıldığını göstermektedir. İlk ağ enjeksiyonunun aynı zamanda documentpro[.]org alan adını da içerdiği ortada. Maati Monjib, http://yahoo.fr adresini ziyaret etti ve bir ağ enjeksiyonu, daha fazla free247downloads[.]com'a yönlendirmeden ve sömürüye devam etmeden önce tarayıcıyı zorla documentpro[.]org'a yönlendirdi.

Benzer şekilde, farklı bir vesileyle, Omar Radi Fransız gazetesi Le Parisien'in web sitesini ziyaret etti ve bir ağ enjeksiyonu onu tahmilmilafate[.]com ve sonunda free247downloads[.]com'a yönlendirdi.

pegasus_3.png

baramije[.]net alan adından geçen gnyjv1xltx.info8fvhgl3.urlpush[.]net adresindeki istismar sayfasına yönlendirildi. baramije[.]net etki alanı urlpush[.]net'ten bir gün önce kaydedildi ve açık kaynaklı Textpattern CMS kullanılarak tuzak web sitesi kuruldu. iOS, depolanan “DataUsage.sqlite ” ve “ netusage.sqlite ” adlı iki SQLite veritabanı dosyasında işlem yürütmelerinin ve ilgili ağ kullanımının kayıtlarını tutar . İlkinin iTunes yedeklemesinde mevcut olmasına rağmen, ikincisinin mevcut olmadığını belirtmekte fayda var. Maati Monjib'in hem de Omar Radi'nin ağ kullanım veritabanları, “ bh” adı verilen şüpheli bir sürecin kayıtlarını içeriyordu . Bu “bh” süreci, Pegasus Kurulum alanlarına yapılan ziyaretlerin ardından birçok kez gözlemlendi.

Nisan 2018'den Mart 2019'a kadar “bh” kayıtları... pegasus_4.png

Lookout'un analizinde açıklandığı gibi, 2016'da NSO Group, cihazda kod yürütülmesini sağlamak için iOS JavaScriptCore Binary'deki (jsc) bir güvenlik açığından yararlandı. Aynı güvenlik açığı, yeniden başlatmanın ardından cihazda kalıcılığı korumak için de kullanıldı.

pegasus_5.png

2019'da yaygın olarak kullanılan bir iMessage sıfır tıklama olayı! Kötü niyetli bağlantılar taşıyan SMS mesajları, 2016 ve 2018 yılları arasında NSO Group müşterilerinin tercih ettiği taktik iken, son yıllarda giderek daha nadir hale geldiği görülüyor. Ağ enjeksiyonu, özellikle mobil operatörler üzerinde kaldıraç bulunan ülkelerde, ev içi kullanım için etkili ve uygun maliyetli bir saldırı vektörüdür. Ancak, yalnızca yerel ağlarda etkili olmakla birlikte, yabancı hedeflerin hedeflenmesi de kullanıldı. 2019'dan itibaren iOS'taki, özellikle iMessage ve FaceTime'daki artan sayıda güvenlik açığı, güvenlik açığı araştırmacılarının keşifleri veya doğada keşfedilen açıkları bildiren siber güvenlik sağlayıcıları sayesinde düzeltilmeye başlandı. Araştırma iMessage ve FaceTime ile ilgili tüm izleri toplayacak şekilde genişletti. iOS, yüklü her uygulama tarafından görülen Apple Kimliklerinin kaydını /private/var/mobile/Library/Preferences/com.apple.identityservices konumunda bulunan bir plist dosyasında tutar. idstatuscache .plist, bu dosya aynı zamanda normal bir iTunes yedeklemesinde de bulunur. Bu nedenle jailbreak gerekmeden kolayca çıkarılabilir. Bu kayıtlar daha sonraki araştırmalarda kritik bir rol oynadı. Çoğu durumda, şüpheli iMessage hesabı aramalarının hemen ardından cihazlarda yürütülen şüpheli Pegasus işlemlerini keşfettik.

Örneğin, bir Fransız gazetecinin telefonundan aşağıdaki kayıtlar alınmıştır (KOD FRJRN2): pegasus_6.jfif

Bu durumda, bazı ağ etkinlikleri gerçekleştiren ilk şüpheli işlemler, ilk aramadan 5 dakika sonra kaydedildi. http://Com.apple.CrashReporter.plist dosya önceki başarılı enfeksiyondan sonra zaten bu cihazda mevcuttu ve yine yazılmamış. 2020'de Pegasus, enjekte etmek için Apple Music'ten yararlanıldı. 2021'in ortasına kadar Pegasus sıfır tıklama saldırıları kullanılarak defalarca hedeflenen Azerbaycan'dan önde gelen bir araştırmacı gazetecinin (KOD AZJRN1) başka bir vakasını daha tespit etti.

pegasus_6.png

Pegasus yüklü cihazda, Apple Music hizmeti için kaydedilen ağ trafiğini gördük. Bu HTTP istekleri, /private/var/mobile/Containers/Data/Application/D6A69566-55F7-4757-96DE-EBA612685272/Library/Caches/com.apple.Music/Cache konumunda bulunan bir ağ önbellek dosyasından kurtarıldı. Son araştırmalar, iTunes Store uygulaması gibi yerleşik uygulamaların, kısıtlayıcı Safari uygulama sanal alanından kaçarken bir tarayıcı istismarını çalıştırmak için kötüye kullanılabileceğini göstermiştir. Bir Fransız insan hakları avukatının, (CODE FRHRL2) iPhone'unda, kurbanın bilmediği şüpheli bir iMessage hesabının arandığını ve ardından http://com.apple.coretelephony işlemi tarafından gerçekleştirilen bir HTTP isteğini gözlemlendi. Bu saldırıda, istismar edilenler arasında yer alan bir iOS bileşenidir. /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db konumunda diskte depolanan ve istek ve yanıtla ilgili meta verileri içeren bir önbellek dosyasında bu HTTP isteğinin izlerini bulundu. Telefon, model 9,1 (iPhone 7) ve iOS yapı numarası 18C66 dahil olmak üzere cihaz hakkında bilgi gönderdi.(sürüm 14.3), Amazon CloudFront tarafından sunulan bir hizmete geçiş yaptı ve bu, NSO Group'un son aylarda AWS hizmetlerini kullanmaya geçtiğini gösteriyor.

pegasus_7.png

Cache.db, http://com.apple.coretelephony için dosya ikili verilerin 250KB bir indirme olduğu ortaya çıktı. İndirilen ikili dosyayı fsCachedData alt klasöründe bulduk , ancak ne yazık ki şifrelenmişti. Bir gazetecinin iPhone'u (CODE MOJRN1) analiz edildi. Bu cihaz, Şubat ve Nisan 2021 arasında ve iOS sürümlerinde defalarca kez kullanıldı. En son girişim, aşağıdaki uzlaşma göstergelerini gösterdi.

pegasus_8.png

Görüldüğü gibi, NSO Pegasus casus yazılımdan kurtulmanın tek yolu mobil cihaz kullanmamak! Siz yinede telefonunuza her uygulamayı yüklemeyin ve her bağlantıyı tıklamayın. İphone 12 ve üzeri sürümler biraz daha güvenli. NSO Pegasus Casus yazılımı çıplak gözle görmek ve anlamanız imkansız. Her an takip edilebildiğinizi ve gözetim altında olduğunuzu unutmamanız tüm tedbirlerin başında gelmeli. Özellikle diğer telefonlara nazaran android kullanımından vazgeçin.


Makalemize katkılarından dolayı

Ast Bil. Tek - Araştırmacı - Yazar Adem Taşkaya'ya teşekkür ederiz.

Destek

Herhangi bir veri kaybı yaşadığınızda, bulunduğunuz konuma en yakın DrDisk Lab çözüm ortağı ile iletişime geçebilirsiniz...

Yukarı