ESET Araştırma Ünitesi, Hong Kong’daki demokrasi yanlısı haber sitesinin ziyaretçilerini gözetleyen macOS makûs gayeli yazılım DazzleSpy’ı …
ESET Araştırma Ünitesi, Hong Kong’daki demokrasi yanlısı haber sitesinin ziyaretçilerini gözetleyen macOS makûs gayeli yazılım DazzleSpy’ı keşfetti.
ESET araştırma grubunun datalarına nazaran bir watering hole (su kaynağı) saldırısı, Hong Kong’daki demokrasi yanlısı radyo istasyonunun haber web sitesine sızdı. Saldırganlar, siteyi ziyaret edenlerin Mac bilgisayarlarına DazzleSpy berbat gayeli siber casusluk yazılımını kuran bir Safari programı kullanıyor. Gayelerin Hong Kong’daki muhtemelen politik açıdan etkin, demokrasi yanlısı bireyler olduğu düşünülüyor. Güvenlik açığı, iPhone XS ve daha yeni modeller üzere aygıtlar dahil olmak üzere iOS’da da yer alıyor. DazzleSpy yükü, birçok siber casusluk aksiyonunu gerçekleştirebiliyor. ESET Araştırma Ünitesi, bu operasyonun gerisindeki kümenin güçlü teknik hünerlere sahip olduğunu belirtiyor.
ESET araştırmacıları, siteyi ziyaret edenlerin Mac bilgisayarlarına makûs emelli siber casusluk yazılımını kuran bir Safari programı yerleştirmek üzere Hong Kong demokrasi yanlısı radyo istasyonu D100’ün haber web sitesinin ihlale uğradığını keşfetti. Sitenin güvenlik açığına sahip ziyaretçilerine sızan berbat gayeli yazılım, ESET’in DazzleSpy olarak isimlendirdiği, yeni bir macOS makus gayeli yazılım. Makus hedefli kod, geniş bir yelpazede hassas ve şahsî bilgi toplayabilme özelliğine sahiptir.
macOS’ta kullanılan Safari web tarayıcılarını amaç alan su kaynağı hücumları ile ilgili birinci rapor, Google tarafından geçtiğimiz Ekim ayında yayınlandı. ESET araştırmacıları, Google ile tıpkı anda hücumları araştırıyordu; amaçlar ve kurbanların işletim sistemlerine sızmak için kullanılan makûs hedefli yazılım ile ilgili diğer detayları da ortaya çıkardılar. ESET, Google grubu tarafından tanımlanan yamanın taarruzlarda kullanılan Safari güvenlik açığını onardığını onayladı.
Su kaynağı saldırısını araştıran Marc-Étienne Léveillé bu hususta şöyle diyor: “Tarayıcıda kod yürütmeye imkan sağlayan program epey karmaşık ve 1.000 satırdan fazla kod içeriyor. Kimi kodların, güvenlik açığının iPhone XS ve daha yeni modeller üzere aygıtlar dahil olmak üzere iOS’da da yer aldığını göstermesi değişiktir.”
Bu kampanya 2020 yılında gerçekleşen ve LightSpy iOS makus hedefli yazılımın birebir şekilde dağıtıldığı kampanyayla benzerlikler taşıyor. Bu kampanyalarda Hong Konglu vatandaşları bir WebKit programına yönlendirmek üzere web sitelerinde çerçeve enjeksiyonu kullanılıyor.
DazzleSpy yükü, birçok siber casusluk aksiyonunu gerçekleştirebiliyor. İhlale uğrayan bilgisayar hakkında bilgi toplayabiliyor. Muhakkak belgeleri arayabiliyor; Masaüstü, İndirilenler ve Evraklar klasörlerindeki belgeleri tarayabiliyor; verilen kabuk komutlarını yürütebiliyor; uzaktan bir ekran oturumu başlatabiliyor yahut sonlandırabiliyor. Verilen bir belgeyi diske yazabiliyor.
Bu kampanyada kullanılan programların karmaşıklığı göz önüne alındığında, ESET Araştırma Ünitesi, bu operasyonun ardındaki kümenin güçlü teknik maharetlere sahip olduğu sonucuna vardı. Ayrıyeten DazzleSpy’da uçtan uca şifreleme bulunmasının, şifrelenmemiş transferi birinin gizlice izlemeye çalışması durumunda komuta ve denetim (C&C) sunucusuyla irtibata geçmeyeceği manasına gelmesi de değişik bulundu.
Bu tehdit aktörüyle ilgili diğer bir değişik bulgu da, makûs hedefli yazılımın, ihlale uğrayan bilgisayarda ele geçirdiği geçerli tarih ve saati C&C sunucusuna göndermeden evvel Asya/Şangay saati dilimine (Çin Standart Saati olarak da bilinir) çeviriyor olması. Ayrıyeten DazzleSpy makus emelli yazılım birçok Çince iç bildiri da içeriyor.
Kaynak: (BHA) – Beyaz Haber Ajansı
