Üçgenleme meselesi

Üçgenleme Truva Atıyla yönetimimize yapılan hedefli saldırı.

Üçgenleme: iOS’a yönelik truva atı

Herkese selam. Bugün çok büyük ve önemli haberlerle geldim.

Kaspersky uzmanları, Apple mobil cihazlarını kullanan aşırı karmaşık ve profesyonelce hedefler seçen bir siber saldırı keşfetti. Bu saldırının amacı, şirket çalışanlarının -hem üst hem de orta düzey yönetim- iPhone’larına dikkat çekmeyen bir casus yazılım yerleştirmek.

Saldırı, iOS işletim sistemindeki bir dizi güvenlik açığını kullanarak cihaz üzerinde çalıştırılan ve casus yazılım yükleyen kötü amaçlı bir ek içeren görünmez bir iMessage kullanılarak gerçekleştiriliyor. Casus yazılımın yerleştirilme süreci tamamen gizli ve kullanıcının bir şey yapması gerekmiyor. Casus yazılım ayrıca, mikrofon kayıtları, anlık mesajlaşma uygulamalarından fotoğraflar, coğrafi konum ve virüslü cihazın sahibinin bir dizi başka faaliyeti hakkındaki veriler gibi özel bilgileri de sessizce uzak sunuculara iletiyor.

Saldırı mümkün olduğunca gizli bir şekilde gerçekleştirilse de virüs, bilgi ve olay yönetimi için yerel bir SIEM çözümü olan Kaspersky Birleşik İzleme ve Analiz Platformu (KUMA) tarafından tespit edildi. Sistem, ağımızda Apple cihazlarından gelen bir anormallik tespit etti. Ekibimiz tarafından yapılan ekstra araştırmalar, çalışanlarımızın çok sayıda iPhone’una “Üçgenleme” adını verdiğimiz yeni ve teknolojik açıdan son derece gelişmiş bir casus yazılımın bulaştığını gösterdi.

iOS’un kapalı yapısı nedeniyle, virüslü akıllı telefonlarda bu casus yazılımı tespit etmek ve kaldırmak için standart bir işletim sistemi aracı yok (ve olamaz). Bunu yapmak için harici araçlara ihtiyacınız var.

Cihazda Üçgenleme varlığının üstü kapalı bir göstergesi de iOS güncelleme yeteneğinin devre dışı bırakılması. Virüsün daha doğru tanınması için cihazın yedek bir kopyasını almanız ve özel bir yardımcı programla kontrol etmeniz gerekiyor. Securelist’teki bu teknik makalede daha ayrıntılı öneriler yer alıyor. Ayrıca ücretsiz bir tespit aracı geliştiriyoruz ve test ettikten sonra kullanıma sunacağız.

Virüs bulaşmış cihazlarda iOS güncellemelerini engelleme özellikleri nedeniyle, kullanıcı verilerini kaybetmeden casus yazılımları kaldırmanın etkili bir yolunu henüz bulamadık. Bu yalnızca virüs bulaşmış iPhone’ları fabrika ayarlarına sıfırlayarak, işletim sisteminin en son sürümünü ve tüm kullanıcı ortamını sıfırdan yükleyerek yapılabilir. Aksi takdirde, yeniden başlatmanın ardından casus yazılım cihaz belleğinden silinse bile Üçgenleme, iOS’un eski bir sürümündeki güvenlik açıkları aracılığıyla yeniden virüs bulaştırabilir.

Üçgenleme Operasyonuna ilişkin bu rapor, bu gelişmiş saldırıya ilişkin soruşturmanın sadece başlangıcı. Bugün analizin ilk sonuçlarını yayınlıyoruz ancak daha yapılacak çok iş var. Olay araştırıldıkça, Securelist’te konuya özel bir yazıda yeni veriler yayınlayacağız ve Ekim ayında uluslararası Güvenlik Analistleri Zirvesinde (haberleri siteden takip edin) yapılan çalışmalara son noktayı koyacağız.

Kaspersky’nin bu siber saldırının ana hedefi olmadığından oldukça eminiz. Önümüzdeki günlerde casus yazılımın dünya çapında ne kadar yayıldığını daha net ve ayrıntılı göreceğiz.

Bu olayın ana nedeninin iOS’un tescilli yapısı olduğuna inanıyoruz. Bu işletim sistemi, Üçgenleme gibi casus yazılımların yıllarca saklanabileceği bir “kara kutu”. Bu tür tehditleri tespit ve analiz etmek, Apple’ın araştırma araçları üzerindeki tekeli nedeniyle daha da zorlaşıyor ve Apple casus yazılımlar için mükemmel bir sığınak haline geliyor. Başka bir deyişle, daha önce çok kez dile getirdiğim gibi, kullanıcıların zihninde sistemin tam anlaşılmaz olması üzerinden bir güvenlik yanılsaması oluşturuluyor. iOS’ta gerçekte ne olduğu siber güvenlik uzmanları tarafından bilinmiyor. Saldırılarla ilgili haberlerin olmaması, halihazırda gördüğümüz gibi, saldırıların imkânsız olduğunu göstermiyor.

Bunun şirketimize yönelik ilk hedefli saldırı vakası olmadığını hatırlatmak isterim. Çok agresif bir ortamda çalıştığımızın farkındayız ve uygun olay müdahale prosedürleri geliştirdik. Alınan önlemler sayesinde şirket normal bir şekilde çalışıyor, iş süreçleri ve kullanıcı verileri etkilenmiyor ve tehdit etkisiz hale getiriliyor. Her zaman olduğu gibi, sizi korumaya devam ediyoruz.

Not Neden “Üçgenleme”?

Üçgenleme, saldırıya uğrayan sistemin yazılım ve donanım özelliklerini tanımak için Canvas Fingerprinting teknolojisini kullanıyor ve cihazın belleğine sarı bir üçgen çiziyor.

İpuçları

Ev güvenliğinin sağlanması

Güvenlik şirketleri, evinizi hırsızlık, yangın ve diğer olaylardan korumak için başta kameralar olmak üzere çeşitli akıllı teknolojiler sunuyor. Peki ya bu güvenlik sistemlerinin kendilerini davetsiz misafirlerden korumak? Bu boşluğu biz dolduruyoruz.