ESET Yeni Bir Casusluk Yazılımını Ortaya Çıkardı
ESET araştırma grubunun bilgilerine nazaran bir watering hole (su kaynağı) saldırısı, Hong Kong’daki demokrasi yanlısı radyo istasyonunun haber web sitesine sızdı. Saldırganlar, siteyi ziyaret edenlerin Mac bilgisayarlarına DazzleSpy berbat hedefli siber casusluk yazılımını kuran bir Safari programı kullanıyor. Maksatların Hong Kong’daki muhtemelen politik açıdan faal, demokrasi yanlısı bireyler olduğu düşünülüyor. Güvenlik açığı, iPhone XS ve daha yeni modeller üzere aygıtlar dahil olmak üzere iOS’da da yer alıyor. DazzleSpy yükü, birçok siber casusluk aksiyonunu gerçekleştirebiliyor. ESET Araştırma Ünitesi, bu operasyonun gerisindeki kümenin güçlü teknik hünerlere sahip olduğunu belirtiyor.
ESET araştırmacıları, siteyi ziyaret edenlerin Mac bilgisayarlarına makus maksatlı siber casusluk yazılımını kuran bir Safari programı yerleştirmek üzere Hong Kong demokrasi yanlısı radyo istasyonu D100’ün haber web sitesinin ihlale uğradığını keşfetti. Sitenin güvenlik açığına sahip ziyaretçilerine sızan berbat hedefli yazılım, ESET’in DazzleSpy olarak isimlendirdiği, yeni bir macOS makus maksatlı yazılım. Berbat maksatlı kod, geniş bir yelpazede hassas ve şahsî bilgi toplayabilme özelliğine sahiptir.
macOS’ta kullanılan Safari web tarayıcılarını gaye alan su kaynağı atakları ile ilgili birinci rapor, Google tarafından geçtiğimiz Ekim ayında yayınlandı. ESET araştırmacıları, Google ile birebir anda atakları araştırıyordu; gayeler ve kurbanların işletim sistemlerine sızmak için kullanılan makûs gayeli yazılım ile ilgili öteki detayları da ortaya çıkardılar. ESET, Google takımı tarafından tanımlanan yamanın akınlarda kullanılan Safari güvenlik açığını onardığını onayladı.
Su kaynağı saldırısını araştıran Marc-Étienne Léveillé bu hususta şöyle diyor: “Tarayıcıda kod yürütmeye imkan sağlayan program epeyce karmaşık ve 1.000 satırdan fazla kod içeriyor. Kimi kodların, güvenlik açığının iPhone XS ve daha yeni modeller üzere aygıtlar dahil olmak üzere iOS’da da yer aldığını göstermesi değişiktir.”
Bu kampanya 2020 yılında gerçekleşen ve LightSpy iOS berbat hedefli yazılımın tıpkı halde dağıtıldığı kampanyayla benzerlikler taşıyor. Bu kampanyalarda Hong Konglu vatandaşları bir WebKit programına yönlendirmek üzere web sitelerinde çerçeve enjeksiyonu kullanılıyor.
DazzleSpy yükü, birçok siber casusluk aksiyonunu gerçekleştirebiliyor. İhlale uğrayan bilgisayar hakkında bilgi toplayabiliyor. Muhakkak belgeleri arayabiliyor; Masaüstü, İndirilenler ve Evraklar klasörlerindeki belgeleri tarayabiliyor; verilen kabuk komutlarını yürütebiliyor; uzaktan bir ekran oturumu başlatabiliyor yahut sonlandırabiliyor. Verilen bir belgeyi diske yazabiliyor.
Bu kampanyada kullanılan programların karmaşıklığı göz önüne alındığında, ESET Araştırma Ünitesi, bu operasyonun ardındaki kümenin güçlü teknik maharetlere sahip olduğu sonucuna vardı. Ayrıyeten DazzleSpy’da uçtan uca şifreleme bulunmasının, şifrelenmemiş transferi birinin gizlice izlemeye çalışması durumunda komuta ve denetim (C&C) sunucusuyla bağlantıya geçmeyeceği manasına gelmesi de enteresan bulundu.
Bu tehdit aktörüyle ilgili diğer bir değişik bulgu da, makûs hedefli yazılımın, ihlale uğrayan bilgisayarda ele geçirdiği geçerli tarih ve saati C&C sunucusuna göndermeden evvel Asya/Şangay saati dilimine (Çin Standart Saati olarak da bilinir) çeviriyor olması. Ayrıyeten DazzleSpy makûs hedefli yazılım birçok Çince iç bildiri da içeriyor.
