5 sıfır gün istismarı: Devlet Trojan Predator’ın iç işleyişine dair içgörüler

hadicanim

Aktif Üye


  1. 5 sıfır gün istismarı: Devlet Trojan Predator’ın iç işleyişine dair içgörüler

ABD ağ tedarikçisi Cisco Systems’ın BT güvenlik kolu olan Cisco Talos, devlet Trojan Predator’ın nasıl çalıştığına dair yeni ayrıntılar yayınladı. Casus yazılım, Yunanistan merkezli Intellexa konsorsiyumu ve yan kuruluşu Cytrox tarafından üretilir ve dağıtılır. Şimdiye kadar bilinen tek şey, yeteneklerinin İsrail merkezli NSO Group’un kötü şöhretli Pegasus casus yazılımına benzediğinin söylenmesiydi. BT güvenlik araştırmacıları şimdi, Predator’ın virüs bulaştıktan sonra akıllı telefonlarda ve diğer mobil cihazlarda Google Android işletim sistemine nasıl yerleştiğine ve depolanan bilgileri ve devam eden iletişimi nasıl okuduğuna dair bir genel bakış sağlıyor.


Keyfi kod yürütüldü, sahte kapatma


Talos tarafından incelenen Predator bileşenleri, casus yazılımın diğer şeylerin yanı sıra yakındaki sesli aramaları ve sesleri gizlice kaydedebileceğini, Signal ve WhatsApp gibi uygulamalardan veri toplayabileceğini ve programları gizleyebileceğini veya bunların başlatılmasını engelleyebileceğini öne sürüyor. Bir blog girişindeki uzmanlara göre, durum Truva Atı ayrıca isteğe bağlı kaynak kodunu yürütme, güvenlik sertifikaları ekleme ve sistem ve yapılandırma verilerini okuma yeteneğine sahiptir. Ona göre, ekibin henüz daha yakından inceleyemediği diğer modüllerde konum izleme veya kamera erişimi gibi işlevler uygulanmış olabilir. Muhtemelen telefonun kapalı olduğu izlenimi verme seçeneği de vardır.

Geçen yıl, Google’ın Tehdit Analizi Grubu’ndaki (TAG) araştırmacılar, Predator’ın önceden bilinmeyen güvenlik açıklarından yararlanmak için beş ayrı sıfır gün açığını bir araya getirdiğini ortaya çıkardı. Bunlar, 2021’de keşfedilen ve tüm Google Chrome tarayıcılarını etkileyen CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 ve Linux ve Android’de CVE-2021-1048 güvenlik açıklarıdır. Casus yazılımın Alien adlı bir bileşenle yakın çalıştığı söylendi. Bu, “çoklu ayrıcalıklı süreçlere” kilitlenir ve “Predator’dan emirler” alır.


Talos Group şimdi Predator ve Alien arasındaki “yeteneklerin iç içe geçmesinin boyutunu” açığa çıkarıyor. İkinci modül, daha önce varsayıldığı gibi yalnızca gerçek casus yazılımın yüklenmesini sağlamakla kalmaz. Bunun yerine, her iki yapı taşı da SELinux gibi geleneksel Android güvenlik özelliklerini atlamak için birlikte yakın bir şekilde çalıştı.

Diğer bileşenler – SELinux atlandı


Makaleye göre, bunu yapmanın bir yöntemi, Alien’ı “ana süreç” Zygote için ayrılan hafıza alanına yüklemektir. Zygote, belirli sistem kaynaklarını tüm uygulamalar için kullanılabilir hale getirir. Bu manevra, kötü amaçlı yazılımın toplanan verileri daha iyi yönetmesini sağlar. Alien, “Android izin modeli içindeki özel ayrıcalıklı işlemlere girmek için” diye yazıyor araştırmacılar “zigot adres alanına enjekte edildi”. Modül, kullanıcı kimliklerini değiştirebilir ve daha yüksek yetkilere sahip diğer SELinux bağlamlarına geçebilir.


Önerilen Haber Amaçlı İçerik



Onayınız ile harici bir anket (Opinary GmbH) buraya yüklenecektir.



Anketleri her zaman yükle

Anketi şimdi yükle




Uzmanlar, prensip olarak Alien ve Predator’ın Android ve iOS mobil cihazlarına karşı kullanılabileceğini açıklıyor. Analiz ettikleri bileşenler, Google ortamı için özel olarak geliştirildi. Apple işletim sistemi için muadilleri olmayacaktı. Ayrıcalığı artırmak için casus yazılım, Quaileggs adlı bir yöntemi kullanacak şekilde yapılandırılır. Bu, büyük olasılıkla Eylül 2020’de temel olarak giderilen CVE-2021-1048 güvenlik açığından yararlanmaktadır. Ancak, bazı Google Pixel telefonlar Mart 2021’e kadar ve Samsung cihazlar en az Ekim 2021’e kadar savunmasız kaldı.

Talos ekibi, Predator’ın tcore ve kmem içeren en az iki başka bileşen içerdiğini varsayar. İkincisi bazen Quaileggs’e alternatif olarak kullanılır. tcore Python modülü, temel öğelerden biri olan Loader.py tarafından “tüm başlatmalar tamamlandıktan sonra” yüklenir. Ancak, araştırmacıların bu bileşenlere erişimi yoktu.

Truva atları “özellikle çok yönlü ve tehlikeli”


Talos’un genel olarak söylediğine göre, casus yazılım satıcıları nihai yükün tespit edilmesini, analiz edilmesini ve önlenmesini zorlaştırmak için çok çaba sarf ediyor. “Genellikle çok az kullanıcı etkileşimi gerektiren veya hiç gerektirmeyen” dizilerle ilgileniyorlar. Predator en az 2019’dan beri var ve yeni Python tabanlı modüllerin yeni güvenlik açıklarından yararlanmaya gerek kalmadan devreye alınabileceği şekilde tasarlandı. Bu, Trojan’ı “özellikle çok yönlü ve tehlikeli” yapar. Analiz, geliştiricilerin daha iyi savunma teknikleri geliştirmelerine ve ayrıca casus yazılımları tespit edip işlevlerini engellemelerine yardımcı olmak için tasarlanmıştır.

Aylardır Intellexa’nın ana ürünü, Avrupa Parlamentosu’nun Pegasus soruşturma komitesinin de araştırdığı Yunan casus skandalının merkezinde yer alıyor. Toronto Üniversitesi’ndeki Citizen Lab’deki casus yazılım avcılarına göre İsrail kökenli üretici, programı Ermenistan, Mısır, Endonezya, Madagaskar, Umman, Suudi Arabistan ve Sırbistan’a da sattı. Bu ülkede Zitis hackleme otoritesinin devlet Truva Atı ile ilgilendiği yılın başından beri biliniyor.


(iki)



Haberin Sonu