Uluslararası Af Örgütü’nün yayımladığı son rapor, dijital dünyada yeni bir tehlikeyi gözler önüne serdi. Intellexa şirketine ait “Predator” adlı casus yazılımın, kullanıcı herhangi bir bağlantıya tıklamadan, sadece reklamlar üzerinden bile telefonlara sızabildiği ortaya çıktı. Son derece gelişmiş ve gizli yöntemlerle çalışan bu yazılımın hedef cihazlara fark edilmeden yerleştiği, tüm kişisel verileri adım adım ele geçirdiği belirtildi.
“Intellexa Leaks” adı verilen geniş çaplı sızıntıya dayanan araştırma, saldırıların kötü amaçlı bağlantılar, ağ enjeksiyonu ve dijital reklam ekosisteminin manipülasyonu yoluyla gerçekleştirildiğini; yazılımın kullanıcıların telefonlarına tamamen görünmez şekilde ve hiçbir etkileşim olmadan sızabildiğini ortaya çıkardı.
Inside Story, Haaretz ve WAV Research Collective tarafından yayımlanan Intellexa Leaks belgeleri, Predator’un kullandığı hackleme yöntemlerine dair yeni ayrıntılar içeriyor.
Sızdırılan dahili belgeler, eğitim materyalleri ve teknik dökümanlar Predator’un bugüne kadarki en kapsamlı çalışma mekanizmasını gözler önüne seriyor.
Predator, temel olarak “tek tıkla saldırı (1-click)” yöntemine dayanıyor. Hedef kişiye kötü amaçlı bir bağlantı gönderiliyor ve bu bağlantı açıldığında Android cihazlardaki Chrome veya iOS cihazlardaki Safari tarayıcılarında bulunan bir güvenlik açığından yararlanılıyor. Bu ilk aşama, saldırgana telefona sızmak için gereken kapıyı açıyor ve ardından tüm casus yazılım sisteme yükleniyor.
Belgeler, yazılımın kurulduktan sonra şunlara erişebildiğini gösteriyor:
Şifreli mesajlar, fotoğraflar, konum bilgisi, parolalar, mikrofonu gizlice çalıştırma
Toplanan tüm veriler, müşterinin ülkesinde bulunan Predator sunucularına “CNC Anonymization Network” olarak adlandırılan anonimleştirme ağı üzerinden gönderiliyır.
Intellexa, kurbanın bağlantıya tıklamaması ihtimaline karşı tıklama gerektirmeyen saldırı yöntemleri geliştirmiş. Bunlara “Vectors” (Saldırı Yolları) adı veriliyor ve iki kategoriye ayrılıyor: Tactical (Taktik) ve Strategic (Stratejik).
1) Tactical Vectors
Taktik saldırılar fiziksel yakınlık gerektiriyor. En tehlikelilerinden biri Triton:
Samsung cihazlarda kullanılan Exynos modemlerdeki bir güvenlik açığından yararlanarak hücresel bağlantı düzeyinde kötü amaçlı bağlantının enjekte edilmesini sağlıyor.
Belgeler, bu saldırıların hedef cihaza fiziksel olarak yakın olunmasını veya cihaz sinyaline erişimi gerektirdiğini gösteriyor.
2) Strategic Vectors
Stratejik saldırılar uzaktan gerçekleştiriliyor. Bunlar: Mars ve Jupiter ağı enjeksiyon sistemleri
Bu yöntemler, telekom operatörleri veya internet servis sağlayıcılarının iş birliğini gerektiriyor.
Saldırı şu şekilde işliyor:
Sistem, hedef kişinin HTTP kullanan (şifrelenmemiş) bir siteye veya anahtarlarına erişilen yerel bir HTTPS sitesine giriş yapmasını bekliyor.
Bu anda kötü amaçlı bağlantı otomatik olarak enjekte ediliyor.
