Yapılan inceleme, kitte yer alan beş çekirdek (kernel ) exploit’inden birinin, Kaspersky’nin 2023 yılında Operation Triangulation kapsamında tespit ettiği exploit’in güncellenmiş bir versiyonu olduğunu ortaya koydu. Kalan dört exploit — bunların ikisi Operation Triangulation kamuoyuna açıklandıktan sonra geliştirilmiş — aynı exploit çerçevesi üzerine inşa edilmiş durumda. Kod benzerlikleri yalnızca kernel exploit’leriyle sınırlı kalmayıp Coruna’nın diğer bileşenlerine de uzanıyor. Bu durum, kit’in farklı kaynaklardan derlenmiş parçalardan oluşmadığını, aksine orijinal çerçevenin sürekli geliştirilen bir evrimi olduğunu ortaya koyuyor. 

Kod içerisinde Apple’ın A17, M3, M3 Pro ve M3 Max işlemcilerine destek bulunduğu gibi, 2023 sonbahar ve kış döneminde yayımlanan iOS 17.2’ye kadar olan sürümlere referanslar da yer alıyor. Ayrıca Apple’ın, Kaspersky tarafından bildirilen zafiyetleri gidermek amacıyla yayımladığı iOS 16.5 beta 4 sürümüne yönelik özel bir kontrol mekanizması da dikkat çekiyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin konuya ilişkin şunları söyledi:

“Coruna ilk ortaya çıktığında, mevcut bulgular kodun Triangulation ile bağlantısını net şekilde kurmak için yeterli değildi — yalnızca ortak zafiyetler, ortak bir geliştirici olduğu anlamına gelmez. Ancak ikili dosyaların detaylı analiziyle tablo değişti. Coruna, herkese açık exploit’lerin bir araya getirilmiş hali değil; Operation Triangulation çerçevesinin sürekli geliştirilen bir devamıdır. M3 gibi yeni işlemciler ve güncel iOS sürümlerine yönelik kontrollerin bulunması, orijinal geliştiricilerin bu kod tabanını aktif şekilde genişlettiğini gösteriyor. Başlangıçta son derece hedefli bir siber casusluk aracı olan bu yapı, artık ayrım gözetmeksizin kullanılmaya başlanmış durumda.”

Kaspersky, tüm iPhone kullanıcılarına en güncel iOS sürümünü derhal yüklemeleri çağrısında bulunuyor. Coruna tarafından istismar edilen zafiyetler Apple tarafından giderilmiş olsa da güncelleme yapılmamış cihazlar risk altında kalmaya devam ediyor.

Operation Triangulation, ilk olarak Haziran 2023’te ortaya çıkarılan ve iOS cihazlarını hedef alan gelişmiş kalıcı tehdit (APT) kampanyasıdır. Kaspersky, söz konusu kampanyayı kendi kurumsal Wi-Fi ağı üzerindeki trafik analizleri sırasında keşfetti; tehdit aktörünün, Kaspersky çalışanlarına ait çok sayıda iOS cihazını hedef aldığı belirlendi. Araştırmacılar, kampanya kapsamında Apple ürünlerinin geniş bir yelpazesini etkileyen dört adet sıfırıncı gün (zero-day) zafiyetinin istismar edildiğini tespit etti.

Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırılarına kurban gitmemek için şu önlemlerin alınmasını tavsiye ediyor:

• Bilinen güvenlik açıklarını kapatmak için işletim sisteminizi, uygulamalarınızı ve güvenlik yazılımlarınızı düzenli olarak güncelleyin.

• Güvenlik olaylarına karşı kapsamlı görünürlük elde etmek ve operasyonel performansı artırmak için Kaspersky SIEM gibi çözümler kullanarak tüm altyapınızdaki olay izleme süreçlerini merkezileştirin.

• Siber güvenlik ekibinize, kurumu hedef alan tehditler konusunda derinlemesine görünürlük sağlayın. En güncel Kaspersky Threat Intelligence (Threat Intelligence), olay yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sunarak risklerin hızla tespit edilmesine yardımcı olur.

• En güncel hedefli tehditlerle başa çıkabilmeleri için siber güvenlik ekibinizi pratik odaklı Kaspersky Cybersecurity Training ile yetkinleştirin.

• Güçlü bir uç nokta koruması ve olay müdahale kabiliyeti oluşturmak için Kaspersky Next ürün ailesinden yararlanın. Bu çözümler; temel EDR işlevleri, gelişmiş kontroller, yama yönetimi ve bulut güvenliği ile tehdit görünürlüğü sunarak işletmelerin karmaşık saldırıları minimum kaynakla hızla bertaraf etmesine olanak tanır.

Kaspersky, Coruna’nın Operation Triangulation çerçevesinin güncellenmiş versiyonu olduğunu tespit etti yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Bu yaz aylarının başında Kaspersky, iOS cihazlarını hedef alan bir Gelişmiş Kalıcı Tehdit (APT) kampanyasını ortaya çıkardı. Operation Triangulation olarak adlandırılan bu kampanya, iMessage aracılığıyla tıklama gerektirmeyen açıkları dağıtmak için sofistike bir yöntem kullanıyor ve neticede cihazın ve kullanıcı verilerinin kontrolünü tamamen ele geçiriyor. Kaspersky GReAT, tehdidin öncelikli hedefinin kullanıcı gözetimi olduğunu ve Kaspersky personelini bile etkileyebileceğini değerlendirdi. Saldırının karmaşık yapısı ve iOS ekosisteminin kapalı doğası nedeniyle özel bir ekipler arası görev gücü, ayrıntılı bir teknik analiz yapmak için konu üzerinde önemli miktarda zaman ve kaynak harcadı.

Güvenlik Analisti Zirvesinde Kaspersky uzmanları, dört tanesini daha önce bilinmeyen ve Kaspersky araştırmacıları tarafından Apple’a raporlandıktan sonra yamanan sıfırıncı gün açıklarının oluşturduğu toplam beş güvenlik açığından yararlanan saldırı zincirinin daha önce gün yüzüne çıkmamış ayrıntılarını paylaştı.

Şirket uzmanları ilk giriş noktasını bir yazı tipi işleme kütüphanesi açığı üzerinden tespit etti. İkinci aşamada, bellek eşleme kodundaki kolayca istismar edilebilen ve son derece etkili bir güvenlik açığı, cihazın fiziksel belleğine erişime izin verdi. Buna ek olarak, saldırganlar en yeni Apple işlemcisinin donanımsal güvenlik özelliklerini atlamak için iki güvenlik açığından daha yararlandılar. Araştırmacılar ayrıca, saldırganların kullanıcı etkileşimi olmadan iMessage aracılığıyla Apple cihazlarına uzaktan virüs bulaştırabilmelerinin yanı sıra, Safari web tarayıcısı aracılığıyla da saldırı gerçekleştirebilecekleri bir platforma sahip olduklarını keşfetti. Bu da beşinci güvenlik açığının keşfedilmesinin ve düzeltilmesinin yolunu açtı.

Apple ekibi, Kaspersky araştırmacıları tarafından keşfedilen dört adet sıfır gün açığını (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990) ele alan güvenlik güncellemelerini resmi olarak yayınladı. Bu güvenlik açıkları iPhone, iPod, iPad, macOS cihazları, Apple TV ve Apple Watch dahil olmak üzere geniş bir Apple ürün yelpazesini etkiliyordu.

iMessage eklerini kullanırken dikkatli olunması gerekiyor!

Kaspersky GReAT Güvenlik Araştırma Lideri Boris Larin, şunları söyledi: “Yeni Apple yongalarına sahip cihazların donanım tabanlı güvenlik özellikleri, siber saldırılara karşı dayanıklılıklarını önemli ölçüde artırıyor. Ancak bunlar yine de zarar görmez anlamına gelmiyor. Operation Triangulation, bilinmeyen kaynaklardan gelen iMessage eklerini kullanırken dikkatli olunması gerektiğini hatırlatıyor. Operation Triangulation’da kullanılan stratejilerden ders çıkarmak değerli bir rehberlik anlamına geliyor. Ayrıca sistemin kapalılığı ve erişilebilirliği arasında bir denge kurmak, gelişmiş bir güvenlik duruşuna katkıda bulunabilir.” 

Kaspersky’nin kurbanları arasında şirketin üst ve orta düzey yöneticilerinin yanı sıra Rusya, Avrupa ve Orta Doğu’da bulunan araştırmacılar yer alırken, saldırının tek hedefi Kaspersky değildi. Raporun yayınlanması ve özel bir triangle_check yardımcı programının geliştirilmesinin yanı sıra GReAT uzmanları, ilgilenen herkesin soruşturmaya katkıda bulunabilmesi için bir e-posta adresi oluşturdu. Sonuç olarak, şirket araştırmacıları bireylerin Operation Triangulation kurbanı olduğu durumların teyidini aldılar ve bu kurbanlara güvenliklerini artırma konusunda rehberlik sağladılar.

“iOS gibi kapalı sistemlerde gelişmiş siber saldırılara karşı korumak kolay bir iş değil” 

Kaspersky Global Araştırma ve Analiz Ekibi Direktörü Igor Kuznetso “Sistemleri gelişmiş siber saldırılara karşı korumak kolay bir iş değil ve iOS gibi kapalı sistemlerde bu daha da karmaşık bir hal alıyor. Bu nedenle, bu tür saldırıları tespit etmek ve önlemek için çok katmanlı güvenlik önlemleri uygulamak çok önemli” yorumunda bulundu.

Operation Triangulation hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edebilirsiniz. Kaspersky, yakın gelecekte konuyla ilgili daha fazla teknik ayrıntıya ışık tutacak ve web sitesinde analizinin ayrıntılı açıklamalarını sunacak.

Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırısının kurbanı olmamanız için aşağıdaki önlemleri öneriyor:

• Bilinen güvenlik açıklarını yamamak için işletim sisteminizi, uygulamalarınızı ve antivirüs yazılımınızı düzenli olarak güncelleyin. 
• Hassas bilgiler isteyen e-postalara, mesajlara veya aramalara karşı dikkatli olun. Herhangi bir kişisel bilgiyi paylaşmadan veya şüpheli bağlantılara tıklamadan önce gönderenin kimliğini doğrulayın. 
• SOC ekibinize en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin TI’sına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörülerini sağlar. 
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en yeni hedefli tehditlerle mücadele edecek şekilde geliştirin.
• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayın.

Kaspersky hakkında

Kaspersky, 1997 yılında kurulmuş küresel bir siber güvenlik ve dijital gizlilik şirketidir. Kaspersky’nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya genelinde işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumak için sürekli olarak yenilikçi çözümlere ve hizmetlere dönüşmektedir. Şirketin kapsamlı güvenlik portföyü, gelişmiş ve gelişen dijital tehditlerle mücadele etmek için önde gelen uç nokta koruması, özel güvenlik ürünleri ve hizmetleri ile Siber Bağışıklık çözümlerini içeriyor. 400 milyondan fazla kullanıcı Kaspersky teknolojileri tarafından korunmaktadır ve şirket 220.000’den fazla kurumsal müşterinin kendileri için en önemli olanı korumalarına yardımcı oluyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Noktalar Birleşiyor: Kaspersky Operation Triangulation Hakkında Derin Bilgiler Paylaştı yazısı ilk önce En Gazete üzerinde ortaya çıktı.