Pegasus: iOS ve Android’teki nihai casusluk yazılımı

iPhone ve iPad kullanıcıları genellikle güvende olduklarını düşünürler. iOS için zararlı yazılım olmadığını düşünürler. Apple’ın anti virüs çözümlerine izin vermeyen marketi de kullanıcıların bu görüşlerini sürdürmesinin en büyük sebeplerinden biri.

iPhone ve iPad kullanıcıları genellikle güvende olduklarını düşünürler. iOS için zararlı yazılım olmadığını düşünürler. Apple’ın anti virüs çözümlerine izin vermeyen marketi de kullanıcıların bu görüşlerini sürdürmesinin en büyük sebeplerinden biri.

Buradaki anahtar kelime “iddia etmek”. Aslında iOS’u hedef alan zararlı yazılım mevcut – birkaç örneği de var. 2016 Ağustos’unda araştırmacılar istenilen iPhone ve iPad cihazları hackleyip, kurban hakkında verileri toparlayabildikleri, casus yazılım Pegasus’un varlığının başlangıcından haber verdiler. Bu keşif tüm siber dünyayı huzursuz etti.

Düzenlediğimiz Security Analyst Summit‘te, Lookout’tan araştırmacılar Pegasus’un sadece iOS için değil, Android için de tehdit olduğunu belirttiler. Android versiyonu, iOS versiyonuna göre bazı farklılıklar gösteriyor. Şimdi Pegasus’a dönelim ve niye “nihai” dediğimizi açıklayalım.

Pegasus: Başlangıç

Pegasus, Birleşik Arap Emirlikleri insan hakları aktivisti Ahmed Mansoor tarafından keşfedildi. Bu hedefli bir oltalama saldırısıydı: İçerisinde zararlı link olduğunu düşündüğü SMS mesajları alan Ahmed, bunları Citizen Lab’a iletti. Bu kuruluş da araştırması için başka bir güvenlik firması olan Lookout’a gönderdi.

Mansoor yanılmadı. Eğer linke tıklamış olsaydı, iPhonu’na jailbreak işlemi yapılmamış iOS’lar için yazılmış zararlı yazılım bulaşacaktı. Lookout araştırmacıları şimdiye kadar gördükleri en karmaşık uç nokta zararlı yazılımı olduğunu belirtti ve bu yazılıma Pegasus adını verdiler.

Pegasus’un altından İsrailli zararlı yazılım geliştiricisi NSO Group çıktı. Bunun anlamı şu, Pegasus en fazla teklifi verene satılan ticari bir yazılım. Pegasus’un çalışma mantığı daha önceden bilinmeyen (Zero day) güçlü bir açığa dayanıyor. Bu açık iOS cihaza sessizce jailbreak işlemi yaparak casusluk yazılımı yüklüyor. Başka bir siber güvenlik firması olan Zerodium bir defasında iOS’un zero-day açığı için 1 milyon dolar para teklif etmişti, yani Pegasus’un epey maliyetli olduğunu söyleyebiliriz.

Casusluk demişken biraz daha açıklayalım: Tam anlamıyla casusluktan bahsediyoruz. Pegasus modüler bir zararlı yazılım. Bulaştığı cihazı taradıktan sonra, kurbanın mesajlarını ve maillerini okuyacak, aramalarını dinleyecek, ekran görüntüleri alacak, basılan tuşları ve yazılan harfleri kaydedecek, tarayıcı geçmişini çekecek, rehbere erişecek ve başka şeyler yapacak ek modüller yüklüyor. Kısaca, kurbanın tam anlamıyla her şeyini öğrenmek üzere kurul bir zararlı yazılım.

Şunu da belirtmekte fayda var, Pegasus tuş kaydetme ve ses kaydetme özellikleri sayesinde şifrelenmiş ses yayınlarını ve şifrelenmiş mesajları da okuyabiliyor. Mesajlar şifrelenmeden önce (yazıldığı sırada) çalıyor, gelen mesajları da şifresi çözüldükten sonra çalıyor.

Diğer ilginç bilgi ise bu yazılımın kendini son derece özenle gizlemesi. Eğer yönetim ve kontrol sunucusu ile 60 günden fazla iletişime geçemezse, yanlış bir cihaza veya yanlış bir SIM kart olan cihaza yüklenirse yazılım kendini siliyor (Hatırlayın, bu hedefli bir saldırı; NSO’nun müşterileri rastgele kullanıcıların peşinde değiller).

Tüm güzel atlar

Belki de Pegasus’un geliştiricileri bu yazılım üzerine çok durduklarını ve tek bir platform ile sınırlamanın doğru olmadığını düşündüler. İlk versiyon keşfedildikten sonra, ikincisini bulmak uzun sürmedi. Security Analyst Summit 2017’de, Lookout araştırmacıları Android’teki Pegasus – ki Google buna Chrysaor diyor, hakkında konuşma yaptılar. Kapasite olarak Android versiyonu iOS versiyonuna çok benziyor ancak teknik olarak farklılık gösteriyor.

Android için Pegasus zero-day açıklarını kullanıyor. Aksine çok iyi bilinen root yöntemi olan Framaroot’u kullanıyor. Diğer bir fark: Eğer iOS versiyonu cihaza jailbreak yapmayı başaramazsa, tüm saldırı başarısız oluyor. Ancak Android versiyonunda zararlı yazılım root işleminde başarılı olamazsa başka bir casusluk yazılımı indiriyor ve en azından bazı verileri alabilmek için kullanıcıdan direkt olarak izin istiyor.

Google bu saldırıdan sadece birkaç düzine Android cihazın etkilendiğini söylüyor. Ancak hedefli casusluk saldırısı için bu sayı çok fazla. En çok Android için Pegasus saldırısı İsrail’de görüldü. İkinci sırada Gürcistan ve üçüncü sırada Meksika var. Ayrıca bu zararlı yazılım Türkiye, Kenya, Nijerya, Birleşik Arap Emirlikleri ve bazı diğer ülkelerde görüldü.

https://twitter.com/josephfcox/status/849137702889033729

Muhtemelen güvendesinizdir ama…

iOS’u etkileyen Pegasus haberleri çıktığında Apple hızlıca davranarak 9.3.5 güncellemesi çıkarttı ve bahsi geçen 3 sistem açığını düzeltti.

Android versiyonundaki olayı araştırmaya yardım eden Google, potansiyel tehdit altındaki kullanıcıları direkt olarak uyardı. Eğer iOS güncellemesini yaptıysanız veya Google’dan uyarı mesajı almadıysanız, büyük ihtimalle güvendesinizdir.

Ama bu henüz keşfedilememiş bir zararlı yazılım olmadığı anlamına gelmiyor. Pegasus’un varlığı bize iOS zararlı yazılımlarının basitçe engellenebilen fidye yazılımlarından ve reklam virüslerinden çok daha karmaşık olduğunu gösterdi. Dışarıda başka tehlikeler de olabilir. Mümkün olduğunca güvende kalmanız için üç önerimiz var:

  1. Cihazınızı zamanında güncelleyin. Güvenlik güncellemelerine özellikle ilgi gösterin.
  2. Cihazlarınız için güçlü bir antivirüs çözümü kullanın. iOS için şimdilik böyle bir şey yok ancak umarız bu olaydan sonra Apple değişiklik yapmaya karar verir.
  3. Oltalama saldırılarına karşı dikkatli olun, özellikle Ahmed Mansoor’a yapılan hedefli oltalama saldırıları gibilerine. Bilinmeyen kaynaktan aldığınız linklere tıklamayın. Tıklayıp tıklamamanız hakkında düşünün.

İpuçları