Çinliler Uygur Halkını Gözetlemek İçin Yeni iPhone Açığını Kullanıyor

Çinli bir bilgisayar korsan grubu, Çin, Doğu Türkistan’daki Müslüman Uygur halkını hedef alan bir casus yazılım kurdu. İmplantı kurmak için iOS cihazlarında yeni bir istismar -exploit- zincirinden yararlandı.

Dijital adli tıp şirketi Volexity tarafından bulgular yayınlandı. “İmsomnia – Uykusuzluk” adlı istismarın, iOS 12.4 sürümü ile Apple tarafından güncellenmiş WebKit’teki bir kusuru kullanarak iOS 12.3, 12.3.1 ve 12.3.2 sürümlerine kadar çalıştığını ortaya koyuyor.

Volexity saldırıları şöyle açıklıyor. Google’ın Project Zero ekibi Evil Eye’e hack saldırısı yapmıştı. Evil Eye’in geçen Eylül’de Uygurlara yönelik bir dizi saldırının arkasında olduğunu söylemişlerdi. İşte aynı bilgisayar korsanı Evil Eye -devlet destekli bir saldırı grubu- tarafından gerçekleştirildiğini söyledi.

Uygur Web Sitelerini Hedefleyen Saldırılar

Kötü amaçlı yazılımın, daha önce, cihazlara saldırmak için kullanılan kötü amaçlı web sitelerinin küçük bir koleksiyonu varmış. Bunun sayesinde en az iki yıllık bir süre boyunca iOS 10’dan iOS 12’ye kadar uzanan 14 kadar güvenlik açığından yararlandılar.

Volexity’ye göre, Insomnia, aynı taktiği kullanan kullanıcıların iOS cihazlarına yüklendi ve saldırganların kök erişimini sağladı. Böylece Sinyal ve ProtonMail de dahil olmak üzere çeşitli anlık mesajlaşmalarını çalabildiler. Ayrıca da e-posta istemcilerinden gelen düz metin mesajlarını çalabildiler.

Raporunda, şirket geçen yılki serginin ardından, Evil Eye aktörünün güvenliği ihlal edilmiş web sitelerinden kötü amaçlı kodları kaldırdığını belirtti. Daha önce güvenliği ihlal edilmiş Uygur web sitelerinin birçoğunun komuta ve kontrol (C2) sunucu altyapısını devraldığını söyledi.

Apple’ın App Store İnceleme Yönergeleri (Bölüm 2.5.6) tarafından getirilen kısıtlamalar nedeniyle açık kaynaklı tarayıcı motoru WebKit’in, Safari ve Google Chrome ve Firefox gibi diğer üçüncü taraf web tarayıcıları için temel oluşturduğunu belirtmek gerekir.

Araştırma ekibi, “Volexity, Apple Safari, Google Chrome ve Microsoft Edge mobil tarayıcıları aracılığıyla 12.3.1 çalıştıran bir telefonun başarıyla kullanılmasını onaylayabildi” dedi.

Yeni saldırılar altı farklı web sitesini (meselâ Uygur Akademi web sitesi) tehlikeye attı. Uygur halkı siteleri ziyaret ettiğinde Insomnia implantını cihazlarına yüklendi.

Casus Yazılım Artık ProtonMail ve Signal’i hedefliyor

Casus yazılımlara gelince, Google’ın Project Zero güvenlik grubu tarafından ayrıntılı olarak açıklanan implantın güncellenmiş bir sürümü gibi görünüyor.

Araştırmacılar, “Eylül 2019’da belirtildiği gibi Volexity, Evil Eye saldırganlarının, Project Zero’nun bulguları halka açıklandıktan kısa bir süre sonra saldırganların C2 sunucularını temel alan iPhone’ları hedeflediğinden şüphelendi.”

Ardından şöyle devam etti: “Bu daha yakın tarihli bulgular, saldırganların gerçekten de aynı olduğu şüphesini doğrulamaktadır. Son altı ay içinde Uygur sitelerinin tüm büyük platformlar için kötü amaçlı yazılımlara yol açtığı ve saldırganların önemli bir gelişimini ve bakım çabalarını temsil ettiği doğrulanabilir. Hepsi Uygur nüfusunu gözetlemek için. “

Kaynak

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir