Google Tehdit İstihbaratı Grubu yakın zamanda Intellexa konsorsiyumunun güçlü Predator casus yazılımını kapsamlı bir şekilde analiz etti. Ancak o zamanlar devlet Truva Atı'nın iç kısımlarına dair çok önemli bir anlayış olarak kabul edilen şey, görünüşe göre buzdağının sadece görünen kısmıydı. Apple uzmanı Jamf'in Tehdit Laboratuvarları ekibi tarafından yapılan yeni araştırmalar, artık teknik düzeyi önceki hipotezlerin çok ötesine geçen kötü amaçlı yazılımların resmini çiziyor. Bu nedenle geliştiriciler yalnızca saf casusluk için kullanılmayan işlevler uyguladılar. Bunun yerine, program kendisini aktif olarak tespit edilmeye karşı korur ve hatalardan ders alır.
Duyurudan sonra devamını okuyun
Meraklılara karşı koruyucu duvar
Yeni bulguların önemli bir yönü, Predator'ın başarısızlık veya yakında tespit edilmesi durumundaki davranışıyla ilgilidir. Jamf uzmanları, basit kendi kendini yok etme rutinlerinin çok ötesine geçen son derece uzmanlaşmış bir “sonlandırma anahtarı”nı belgeledi. Onlara göre bu özellik, güvenlik araştırmacılarına karşı nihai savunma görevi görüyor.
Yapılan analize göre casus yazılım, bir analiz ortamında çalıştığını tespit ederse veya iPhone'un belirli güvenlik mekanizmaları aktif hale gelirse “kill switch”i aktif hale getiriyor. Sadece izlerinizi kapatmazsınız. Yazılım aynı zamanda değerli açıklarını ve iletişim kanallarını adli tıp uzmanlarının gözünden gizlemek için operasyonları özellikle bozuyor.
Bu savunma stratejisi hassas bir teşhis sistemi ile tamamlanmaktadır. Jamf, 301 ile 311 arasında değişen hata kodlarının kapsamlı bir sınıflandırmasını belgelemeyi başardı. Bu kodlar, saldırganlar için bir geri bildirim kanalı görevi görüyor. Virüs bulaşma girişimi başarısız olursa veya durdurma anahtarı etkinleştirilirse, casus yazılım, kontrol sunucularına otomatik olarak şifrelenmiş bir durum mesajı gönderir.
Sunucuları kontrol etmek için geri bildirim
Bu, saldırganların tam olarak hangi güvenlik önleminin veya arama aracının keşfi tetiklediğini bulmasına olanak tanır. Bu geri bildirim sistemi, bir işletim sisteminin her başarılı savunma tepkisini, saldırganların bir sonraki girişimde araçlarını özel olarak geliştirmek için kullanabileceği bir bilgi kaynağına dönüştürür.
Bu öğrenme yeteneğine ek olarak Predator, güvenlik araştırmacılarının analizlerine karşı ek savunmalar da geliştirmiştir. Uzmanlar, hata ayıklama konsollarının veya şüpheli kök CA sertifikalarının izlerini arayan aktif süreç izleme işlevlerini keşfetti. İkincisi genellikle bilgisayar adli tıpta veri trafiğinin şifresini çözmek için kullanılır.
Duyurudan sonra devamını okuyun
HTTP proxy algılaması, araştırmacıların virüs bulaşmış cihaz ile komuta ve kontrol sunucuları arasındaki iletişimlere müdahale etmesini önlemek için de yerleşiktir. Ayrıca Predator'ın iOS geliştirici modunu görmezden gelme veya kamuflajını korumak için bunu bir uyarı sinyali olarak kullanma yeteneği de dikkate değerdir.
NSO Group'un Pegasus'uyla karşılaştırma
Bulgular, Intellexa Alliance'ın profesyonelliğinin altını çiziyor ve araştırmacılara göre, devlet aktörleri ile ticari casus yazılım sağlayıcıları arasındaki çizginin teknolojik açıdan artık mevcut olmadığını gösteriyor. Predator statik bir araç değil, dinamik olarak uyum sağlayan bir sistemdir. Profilleri nedeniyle bu tür yazılımların hedefi olabilecek kullanıcılar için bu, yeni bir tehdit düzeyini temsil ediyor: Sistemin güvenliği, saldırgan için istemsiz bir öğretmen haline geliyor.
NSO Group'un, genellikle kurbanın herhangi bir eylemi olmaksızın sıfır tıklama açıklarından yararlanarak cihazlara bulaşan kötü şöhretli Pegasus durum Truva Atı'nın aksine, Predator öncelikle hazırlanmış bağlantılar aracılığıyla tek tıklamayla yapılan saldırılara güveniyor. Mikrofonlar, kameralar ve şifreli sohbetler üzerinde casusluk yapmak söz konusu olduğunda, teknik olarak her iki platform da özellik yelpazesi açısından eşit kabul ediliyor. Ancak Pegasus öncelikle maksimum gizlilik ve sessiz sızma için optimize edilmiştir. Predator agresif anti-analiz teknikleriyle öne çıkıyor. Program, BT güvenlik topluluğuyla proaktif olarak mücadele etmek için tasarlanmış gibi görünüyor.
2024 yılında, güçlü Predator'ın tedariki ve kontrolü için platformun operatörleri, ilgili birkaç sunucuyu ve BT altyapısının diğer bileşenlerini tekrar çevrimdışına almak zorunda kaldı. İnsan hakları örgütlerinin ve siber güvenlik araştırmacılarının, devletin Truva atı endüstrisinin yüz karası olarak adlandırılması stratejisi, en azından kısa bir süre için işe yaramış gibi görünüyordu. O dönemde ABD hükümeti, artık Intellexa'nın kurucusu Tal Dilian ve onun sağ kolu Sara Hamou'yu da hedef alan gruba karşı yaptırımları sıkılaştırmıştı. Intellexa İttifakı, yalnızca diktatörlere siber silah sağlamakla kalmayıp, şaibeli Avrupalı şirketlerin oluşturduğu bir ağ olarak değerlendiriliyor. Almanya'daki müşterilerinden biri hacker otoritesi Zitis'tir.
(Orada)
Bir yanıt yazın