Kaspersky’nin Global Araştırma ve Analiz Ekibi (GReAT), yakın zaman önce düzenlenen Güvenlik Analisti Zirvesinde kötü şöhretiyle bilinen Operation Triangulation ile ilgili soruşturma sürecinin detaylarını açıkladı.
Şirketten yapılan açıklamaya göre, yaz aylarının başında Kaspersky, iOS cihazlarını hedef alan bir Gelişmiş Kalıcı Tehdit (APT) kampanyasını ortaya çıkardı.
Operation Triangulation olarak adlandırılan bu kampanya, iMessage aracılığıyla tıklama gerektirmeyen açıkları dağıtmak için sofistike bir yöntem kullanıyor ve neticede cihazın ve kullanıcı verilerinin kontrolünü tamamen ele geçiriyor.
Kaspersky GReAT, tehdidin öncelikli hedefinin kullanıcı gözetimi olduğunu ve Kaspersky personelini bile etkileyebileceğini değerlendirdi. Saldırının karmaşık yapısı ve iOS ekosisteminin kapalı doğası nedeniyle özel bir ekipler arası görev gücü, ayrıntılı bir teknik analiz yapmak için konu üzerinde önemli miktarda zaman ve kaynak harcadı.
“Güvenlik Analisti Zirvesi”nde Kaspersky uzmanları, dört tanesini daha önce bilinmeyen ve Kaspersky araştırmacıları tarafından Apple’a raporlandıktan sonra yamanan sıfırıncı gün açıklarının oluşturduğu toplam beş güvenlik açığından yararlanan saldırı zincirinin daha önce gün yüzüne çıkmamış ayrıntılarını paylaştı.
Şirket uzmanları ilk giriş noktasını bir yazı tipi işleme kütüphanesi açığı üzerinden tespit etti. İkinci aşamada, bellek eşleme kodundaki kolayca istismar edilebilen ve son derece etkili bir güvenlik açığı, cihazın fiziksel belleğine erişime izin verdi. Buna ek olarak, saldırganlar en yeni Apple işlemcisinin donanımsal güvenlik özelliklerini atlamak için iki güvenlik açığından daha yararlandılar.
Araştırmacılar ayrıca, saldırganların kullanıcı etkileşimi olmadan iMessage aracılığıyla Apple cihazlarına uzaktan virüs bulaştırabilmelerinin yanı sıra, Safari web tarayıcısı aracılığıyla da saldırı gerçekleştirebilecekleri bir platforma sahip olduklarını keşfetti. Bu da beşinci güvenlik açığının keşfedilmesinin ve düzeltilmesinin yolunu açtı.
“Sistemin kapalılığı ve erişilebilirliği arasında bir denge kurmak, gelişmiş bir güvenlik duruşuna katkıda bulunabilir”
Verilen bilgiye göre, Apple ekibi, Kaspersky araştırmacıları tarafından keşfedilen dört adet sıfır gün açığını (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990) ele alan güvenlik güncellemelerini resmi olarak yayınladı. Bu güvenlik açıkları iPhone, iPod, iPad, macOS cihazları, Apple TV ve Apple Watch dahil olmak üzere geniş bir Apple ürün yelpazesini etkiliyordu.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırma Lideri Boris Larin, şunları kaydetti:
“Yeni Apple yongalarına sahip cihazların donanım tabanlı güvenlik özellikleri, siber saldırılara karşı dayanıklılıklarını önemli ölçüde artırıyor. Ancak bunlar yine de zarar görmez anlamına gelmiyor. Operation Triangulation, bilinmeyen kaynaklardan gelen iMessage eklerini kullanırken dikkatli olunması gerektiğini hatırlatıyor. Operation Triangulation’da kullanılan stratejilerden ders çıkarmak değerli bir rehberlik anlamına geliyor. Ayrıca sistemin kapalılığı ve erişilebilirliği arasında bir denge kurmak, gelişmiş bir güvenlik duruşuna katkıda bulunabilir.”
Açıklamaya göre, Kaspersky’nin kurbanları arasında şirketin üst ve orta düzey yöneticilerinin yanı sıra Rusya, Avrupa ve Orta Doğu’da bulunan araştırmacılar yer alırken, saldırının tek hedefi Kaspersky değildi. Raporun yayınlanması ve özel bir triangle_check yardımcı programının geliştirilmesinin yanı sıra GReAT uzmanları, ilgilenen herkesin soruşturmaya katkıda bulunabilmesi için bir e-posta adresi oluşturdu.
Sonuç olarak, şirket araştırmacıları bireylerin Operation Triangulation kurbanı olduğu durumların teyidini aldılar ve bu kurbanlara güvenliklerini artırma konusunda rehberlik sağladı.
“Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayın”
Kaspersky Global Araştırma ve Analiz Ekibi Direktörü Igor Kuznetso “Sistemleri gelişmiş siber saldırılara karşı korumak kolay bir iş değil ve iOS gibi kapalı sistemlerde bu daha da karmaşık bir hal alıyor. Bu nedenle, bu tür saldırıları tespit etmek ve önlemek için çok katmanlı güvenlik önlemleri uygulamak çok önemli.” değerlendirmesinde bulundu.
Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırısının kurbanı olmamak için şu önerilerde bulundu:
“Bilinen güvenlik açıklarını yamamak için işletim sisteminizi, uygulamalarınızı ve antivirüs yazılımınızı düzenli olarak güncelleyin. Hassas bilgiler isteyen e-postalara, mesajlara veya aramalara karşı dikkatli olun. Herhangi bir kişisel bilgiyi paylaşmadan veya şüpheli bağlantılara tıklamadan önce gönderenin kimliğini doğrulayın. SOC ekibinize en son tehdit istihbaratına (TI) erişimini sağlayın.
Kaspersky Tehdit İstihbaratı Portalı, şirketin TI’sına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörülerini sağlar. GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en yeni hedefli tehditlerle mücadele edecek şekilde geliştirin. Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayın.”