İsrail'li NSO Group, Pegasus casus yazılımının sadece “Terör ve Suç araştırmalarında” kullanıldığını ve “hiçbir iz bırakmadığını” iddia ediyor.Adli Raporlar ise bu ifadelerin hiçbirinin doğru olmadığını göstermektedir.

Uluslararası Af Örgütü Güvenlik Laboratuvarı'nın teknik desteğiyle, 10 ülkedeki 17 medya kuruluşundan 80'den fazla gazeteciyi içeren ortak bir soruşturma olan Pegasus Projesi'nin yayınlanmasına eşlik ediyor.

Güvenlik Laboratuvarı, dünyanın dört bir yanındaki çok sayıda mobil cihazın derinlemesine adli analizini yaptı. Araştırma, Pegasus Casus Yazılımı kullanılarak gerçekleştirilen yaygın, kalıcı ve devam eden yasadışı gözetim ve insan hakları ihlallerini ortaya çıkardı. Pegasus casus yazılımı ile hedeflemenin ardından iOS ve Android cihazlarda Pegasus enfeksiyonları ilk kez Ahmed Mansoor'u hedeflemek için 2016 yılında kullanıldı. Hedefle herhangi bir etkileşim gerektirmeyen “sıfır tıklama” saldırıları da dahildir.

Sıfır tıklama saldırıları Mayıs 2018'den beri gözlemlendi ve şimdiye kadar devam ediyor. Son zamanlarda, Temmuz 2021'de iOS 14.6 çalıştıran tamamen yamalı bir iPhone 12'ye saldırmak için birden fazla sıfır gününden yararlanan başarılı bir "sıfır tıklama" saldırısı gözlemlendi. Rapor Pegasus ağ altyapısının 2016'dan bu yana geçirdiği evrimi belgeliyor. NSO Group, birden fazla alan ve sunucu katmanı kullanarak saldırı altyapısını yeniden tasarladı. Altta örneklerini göreceksiniz.

2018'de Uluslararası Af Örgütü çalışanı ve Suudi aktivist Yahya Assiri'nin hedef alındığı keşfedildikten sonra yoğunlaştı. 2020'de Faslı bir gazeteciye karşı keşfedilen saldırılarla etkileşim ve sızmalar daha da doğrulandı. NSO Group'un müşterilerinin yıllar boyunca Pegasus istismar alanlarıyla SMS mesajları kullandığını belirledi. Sonuç olarak, Uluslararası Af Örgütü'nün 2019 raporunda belgelendi.

Maati Monjib'in telefonuna yönelik analizlerden benzer mesajlar çıktı. Ancak, daha sonraki analizlerde Safari'nin tarama geçmişinde kaydedilen şüpheli yönlendirmeler fark edildi. Maati Monjib, Yahoo'yu ziyaret etmeye çalıştıktan sonra garip bir URL'ye yönlendirme fark edildi.

URL HTTPS: //bun54l2b67.get1tn0w.free247downloads com [.]: 30.495 / szev4hz standart dışı bir yüksek port numarası varlığı, kuşkulu görünen ve bağlantılar için rasgele bir tanım içindeki ihtiva NSO Group'un Pegasus'u ile bağlantılı olarak daha önce belgelenen SMS mesajlarında. Yukarıdaki tabloda görebileceğiniz gibi, Yahoo ziyareti hemen 16120 veri tabanı kimliğine sahip bu şüpheli URL'ye yönlendirildi.

Ağ enjeksiyon saldırıları sonucu olduğu bu yönlendirmeler belirlenen detay, mobil operatör yerleştirilen sahte baz istasyonları, ya da özel ekipman sayesinde olarak taktik cihazlar aracılığıyla gerçekleştirildi. Aylar sonra, 2020 raporunda hedef alınan Faslı bağımsız gazeteci Omar Radi'nin iPhone'unu analiz edildiğinde, free247downloads[.]com alan adında da benzer kayıtlar bulundu.

Safari geçmiş kayıtları genellikle kısa ömürlü olmasına ve birkaç ay sonra kaybolmasına rağmen (ayrıca potansiyel olarak kötü amaçlı yazılım tarafından kasıtlı olarak temizlenmiş), yine de NSO Group'un bulaşma alanlarını Safari'de görünmeyen diğer veritabanlarında bulundu.

Bu yönlendirmeler yalnızca hedef tarayıcı uygulamasıyla internette gezinirken değil, diğer uygulamaları kullanırken de gerçekleşti. Örneğin, bir vakada Uluslararası Af Örgütü, Omar Radi Twitter uygulamasını kullanırken bir ağ enjeksiyonu tespit etti.

Zaman çizelgesinde paylaşılan bir bağlantı önizlenirken, bir Safari Web Görünümü yüklemek için http://com.apple.SafariViewService hizmeti çağrıldı ve bir yeniden yönlendirme oluştu.

WebKit depolamasında, IndexedDB klasörlerinde ve fazlasında free247downloads[.]com ve urlpush[.]net alan adlarını içeren ek kayıtları var. IndexedDB dosyaları, ağ enjeksiyonunun Pegasus Sunucusuna yeniden yönlendirilmesinden kısa bir süre sonra Safari tarafından oluşturulmuş ayrıca, Safari'nin Oturum Kaynağı günlükleri, Safari'nin tarama geçmişinde tutarlı bir şekilde görünmeyen ek izler sağlar. Safari'nin tam yönlendirme zincirlerini kaydetmediği ve yalnızca yüklenen son sayfayı gösteren geçmiş kayıtlarını tutabileceği anlaşılıyor.

Analiz edilen telefonlardan kurtarılan Oturum Kaynağı günlükleri, ek hazırlama etki alanlarının, sonunda enfeksiyon sunucularına yol açan trambolinler olarak kullanıldığını göstermektedir.  İlk ağ enjeksiyonunun aynı zamanda documentpro[.]org alan adını da içerdiği ortadadır.

Maati Monjib, http://yahoo.fr adresini ziyaret etti ve bir ağ enjeksiyonu, daha fazla free247downloads[.]com'a yönlendirmeden ve sömürüye devam etmeden önce tarayıcıyı zorla documentpro[.]org'a yönlendirdi. Benzer şekilde, farklı bir vesileyle, Omar Radi Fransız gazetesi Le Parisien'in web sitesini ziyaret etti ve bir ağ enjeksiyonu onu tahmilmilafate[.]com ve sonunda free247downloads[.]com'a yönlendirdi.

baramije[.]net alan adından geçen gnyjv1xltx.info8fvhgl3.urlpush[.]net adresindeki istismar sayfasına yönlendirildi . baramije[.]net etki alanı urlpush[.]net'ten bir gün önce kaydedildi ve açık kaynaklı Textpattern CMS kullanılarak tuzak web sitesi kuruldu. iOS , depolanan “ DataUsage.sqlite ” ve “ netusage.sqlite ” adlı iki SQLite veritabanı dosyasında işlem yürütmelerinin ve ilgili ağ kullanımının kayıtlarını tutar. İlkinin iTunes yedeklemesinde mevcut olmasına rağmen, ikincisinin mevcut olmadığını belirtmekte fayda var.

Maati Monjib'in hem de Omar Radi'nin ağ kullanım veritabanları, “ bh” adı verilen şüpheli bir sürecin kayıtlarını içeriyordu . Bu “bh” süreci, Pegasus Kurulum alanlarına yapılan ziyaretlerin ardından birçok kez gözlemlendi.

Nisan 2018'den Mart 2019'a kadar “bh” kayıtları...

Lookout'un analizinde açıklandığı gibi, 2016'da NSO Group, cihazda kod yürütülmesini sağlamak için iOS JavaScriptCore Binary'deki (jsc) bir güvenlik açığından yararlandı. Aynı güvenlik açığı, yeniden başlatmanın ardından cihazda kalıcılığı korumak için de kullanıldı.

2019'da yaygın olarak kullanılan bir iMessage sıfır tıklama olayı! Kötü niyetli bağlantılar taşıyan SMS mesajları, 2016 ve 2018 yılları arasında NSO Grup müşterilerinin tercih ettiği taktik iken, son yıllarda giderek daha nadir hale geldiği görülüyor.

Ağ enjeksiyonu, özellikle mobil operatörler üzerinde kaldıraç bulunan ülkelerde, ev içi kullanım için etkili ve uygun maliyetli bir saldırı vektörüdür. Ancak, yalnızca yerel ağlarda etkili olmakla birlikte, yabancı hedeflerin hedeflenmesi de kullanıldı. 2019'dan itibaren iOS'taki, özellikle iMessage ve FaceTime'daki artan sayıda güvenlik açığı, güvenlik açığı araştırmacılarının keşifleri veya doğada keşfedilen açıkları bildiren siber güvenlik sağlayıcıları sayesinde düzeltilmeye başlandı.

Araştırma iMessage ve FaceTime ile ilgili tüm izleri toplayacak şekilde genişletti. iOS, yüklü her uygulama tarafından görülen Apple Kimliklerinin kaydını /private/var/mobile/Library/Preferences/com.apple.identityservices konumunda bulunan bir plist dosyasında tutar.  idstatuscache .plist bu dosya aynı zamanda normal bir iTunes yedeklemesinde de bulunur, bu nedenle jailbreak gerekmeden kolayca çıkarılabilir. Bu kayıtlar daha sonraki araştırmalarda kritik bir rol oynadı. Çoğu durumda, şüpheli iMessage hesabı aramalarının hemen ardından cihazlarda yürütülen şüpheli Pegasus işlemlerini keşfettik. Örneğin, bir Fransız gazetecinin telefonundan aşağıdaki kayıtlar alınmıştır (KOD FRJRN2):

Bu durumda, bazı ağ etkinlikleri gerçekleştiren ilk şüpheli işlemler, ilk aramadan 5 dakika sonra kaydedildi. http://Com.apple.CrashReporter.plist dosya önceki başarılı enfeksiyondan sonra zaten bu cihazda mevcuttu ve yine yazılmamış. 2020'de Pegasus enjekte etmek için Apple Music'ten yararlanıldı. 2021'in ortasına kadar Pegasus sıfır tıklama saldırıları kullanılarak defalarca hedeflenen Azerbaycan'dan önde gelen bir araştırmacı gazetecinin (KOD AZJRN1) başka bir vakasını daha tespit etti.

Pegasus cihazda Apple Music hizmeti için kaydedilen ağ trafiğini gördük. Bu HTTP istekleri, /private/var/mobile/Containers/Data/Application/D6A69566-55F7-4757-96DE-EBA612685272/Library/Caches/com.apple.Music/Cache konumunda bulunan bir ağ önbellek dosyasından kurtarıldı. Son araştırmalar, iTunes Store uygulaması gibi yerleşik uygulamaların, kısıtlayıcı Safari uygulama sanal alanından kaçarken bir tarayıcı istismarını çalıştırmak için kötüye kullanılabileceğini göstermiştir.

Bir Fransız insan hakları avukatının (CODE FRHRL2) iPhone'unda, kurbanın bilmediği şüpheli bir iMessage hesabının arandığını ve ardından http://com.apple.coretelephony işlemi tarafından gerçekleştirilen bir HTTP isteğini gözlemlendi. Bu saldırıda istismar edilenler arasında yer alan bir iOS bileşenidir. /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db konumunda diskte depolanan ve istek ve yanıtla ilgili meta verileri içeren bir önbellek dosyasında bu HTTP isteğinin izlerini bulundu. Telefon, model 9,1 (iPhone 7) ve iOS yapı numarası 18C66 dahil olmak üzere cihaz hakkında bilgi gönderdi. (sürüm 14.3), Amazon CloudFront tarafından sunulan bir hizmete geçiş yaptı ve bu, NSO Group'un son aylarda AWS hizmetlerini kullanmaya geçtiğini gösteriyor.

Cache.db http://com.apple.coretelephony için dosya ikili verilerin 250KB bir indirme olduğu ortaya çıktı. İndirilen ikili dosyayı fsCachedData alt klasöründe bulduk , ancak ne yazık ki şifrelenmişti. Bir gazetecinin iPhone'unu (CODE MOJRN1) analiz edildi. Bu cihaz, Şubat ve Nisan 2021 arasında ve iOS sürümlerinde defalarca kez kullanıldı. En son girişim, aşağıdaki uzlaşma göstergelerini gösterdi.

Görüldüğü gibi, NSO Pegasus casus yazılımdan kurtulmanın tek yolu mobil cihaz kullanmamak! Siz yinede telefonunuza her uygulamayı yüklemeyin ve her bağlantıyı tıklamayın. İphone 12 ve üzeri sürümler biraz daha güvenlidir. NSO Pegasus Casus yazılımı çıplak gözle görmek ve anlamanız imkânsızdır. Her an takip edilebildiğinizi ve gözetim altında olduğunuzu unutmamanız tüm tedbirlerin başında gelmeli. Özellikle diğer telefonlara nazaran android kullanımından vazgeçin.

Adem TAŞKAYA

Detaylı telefon inceleme talepleriniz için BigData ile iletişime geçiniz.