ESET Yeni Bir Casusluk Yazılımını Ortaya Çıkardı

ESET araştırma takımının datalarına nazaran bir watering hole (su kaynağı) saldırısı, Hong Kong’daki demokrasi yanlısı radyo istasyonunun haber web sitesine sızdı. Saldırganlar, siteyi ziyaret edenlerin Mac bilgisayarlarına DazzleSpy berbat maksatlı siber casusluk yazılımını kuran bir Safari programı kullanıyor. Gayelerin Hong Kong’daki muhtemelen politik açıdan faal, demokrasi yanlısı bireyler olduğu düşünülüyor. Güvenlik açığı, iPhone XS ve daha yeni modeller üzere aygıtlar dahil olmak üzere iOS’da da yer alıyor. DazzleSpy yükü, birçok siber casusluk hareketini gerçekleştirebiliyor. ESET Araştırma Ünitesi, bu operasyonun ardındaki kümenin güçlü teknik maharetlere sahip olduğunu belirtiyor.

ESET araştırmacıları, siteyi ziyaret edenlerin Mac bilgisayarlarına makus gayeli siber casusluk yazılımını kuran bir Safari programı yerleştirmek üzere Hong Kong demokrasi yanlısı radyo istasyonu D100’ün haber web sitesinin ihlale uğradığını keşfetti. Sitenin güvenlik açığına sahip ziyaretçilerine sızan makus emelli yazılım, ESET’in DazzleSpy olarak isimlendirdiği, yeni bir macOS berbat emelli yazılım. Makus maksatlı kod, geniş bir yelpazede hassas ve şahsî bilgi toplayabilme özelliğine sahiptir.

macOS’ta kullanılan Safari web tarayıcılarını maksat alan su kaynağı taarruzları ile ilgili birinci rapor, Google tarafından geçtiğimiz Ekim ayında yayınlandı. ESET araştırmacıları, Google ile tıpkı anda akınları araştırıyordu; gayeler ve kurbanların işletim sistemlerine sızmak için kullanılan berbat gayeli yazılım ile ilgili diğer detayları da ortaya çıkardılar. ESET, Google grubu tarafından tanımlanan yamanın akınlarda kullanılan Safari güvenlik açığını onardığını onayladı.

Su kaynağı saldırısını araştıran Marc-Étienne Léveillé bu hususta şöyle diyor: “Tarayıcıda kod yürütmeye imkan sağlayan program epeyce karmaşık ve 1.000 satırdan fazla kod içeriyor. Kimi kodların, güvenlik açığının iPhone XS ve daha yeni modeller üzere aygıtlar dahil olmak üzere iOS’da da yer aldığını göstermesi değişiktir.”

Bu kampanya 2020 yılında gerçekleşen ve LightSpy iOS berbat hedefli yazılımın birebir biçimde dağıtıldığı kampanyayla benzerlikler taşıyor. Bu kampanyalarda Hong Konglu vatandaşları bir WebKit programına yönlendirmek üzere web sitelerinde çerçeve enjeksiyonu kullanılıyor. 

DazzleSpy yükü, birçok siber casusluk hareketini gerçekleştirebiliyor. İhlale uğrayan bilgisayar hakkında bilgi toplayabiliyor. Belirli belgeleri arayabiliyor; Masaüstü, İndirilenler ve Evraklar klasörlerindeki belgeleri tarayabiliyor; verilen kabuk komutlarını yürütebiliyor; uzaktan bir ekran oturumu başlatabiliyor yahut sonlandırabiliyor. Verilen bir belgeyi diske yazabiliyor. 

Bu kampanyada kullanılan programların karmaşıklığı göz önüne alındığında, ESET Araştırma Ünitesi, bu operasyonun gerisindeki kümenin güçlü teknik hünerlere sahip olduğu sonucuna vardı. Ayrıyeten DazzleSpy’da uçtan uca şifreleme bulunmasının, şifrelenmemiş transferi birinin gizlice izlemeye çalışması durumunda komuta ve denetim (C&C) sunucusuyla bağlantıya geçmeyeceği manasına gelmesi de enteresan bulundu.

Bu tehdit aktörüyle ilgili öteki bir farklı bulgu da, makûs hedefli yazılımın, ihlale uğrayan bilgisayarda ele geçirdiği geçerli tarih ve saati C&C sunucusuna göndermeden evvel Asya/Şangay saati dilimine (Çin Standart Saati olarak da bilinir) çeviriyor olması. Ayrıyeten DazzleSpy makûs maksatlı yazılım birçok Çince iç ileti da içeriyor.