Bir zamanlar devlet gözetim operasyonlarında kullanıldığı düşünülen gelişmiş bir iOS saldırı aracı, artık siber suç örgütlerinin eline geçti. Coruna adı verilen bu exploit çerçevesi, iPhone kullanıcılarının kripto para varlıklarını ve kişisel verilerini çalmak için kullanılmaya başladı.
Google ve mobil güvenlik şirketi iVerify tarafından yayımlanan yeni teknik analizler, bu araç setinin oldukça gelişmiş bir yapıya sahip olduğunu gösteriyor. Araştırmacılara göre Coruna, iOS güvenlik mekanizmalarını aşmak için geliştirilmiş beş farklı exploit zinciri ve 23 ayrı güvenlik açığı içeriyor. Bu sistem, iPhone kullanıcılarının yalnızca kötü amaçlı bir web sayfasını ziyaret etmesiyle cihazın ele geçirilmesine olanak tanıyabiliyor.
Web tarayıcısı üzerinden başlayan saldırı zinciri
Coruna'nın saldırı süreci oldukça sofistike bir şekilde çalışıyor. İlk aşamada web sayfasında çalışan bir JavaScript kodu, cihazın modelini, iOS sürümünü ve güvenlik yama seviyesini analiz ediyor. Ardından saldırı sistemi, uygun exploit zincirini seçerek tarayıcı ortamından çekirdek seviyesine kadar ilerleyen bir saldırı gerçekleştiriyor. Bu süreç sonunda saldırganlar root seviyesinde erişim sağlayan bir yükleyici bileşeni kurabiliyor. Google'ın Tehdit İstihbarat Grubu, bu saldırıların özellikle Apple'ın WebKit tarayıcı motorunu hedef aldığını belirtiyor. Bu durum, saldırı araçlarının Apple’ın güvenlik mimarisini derinlemesine bilen ve yüksek bütçeye sahip bir ekip tarafından geliştirildiğine işaret ediyor.
Coruna’nın izlerine ilk olarak Şubat 2025 civarında rastlandı. Google’a göre bu araç, kimliği açıklanmayan bir gözetim şirketinin müşterisi tarafından kullanıldı. Araştırmacılar bu nedenle aracın başlangıçta sıradan bir siber suç aracı değil, özel olarak geliştirilmiş bir devlet düzeyi casusluk sistemi olduğunu düşünüyor. Temmuz ayında ise daha gelişmiş bir versiyonu ortaya çıktı. Bu saldırı, Ukrayna’daki bazı web sitelerinde kullanılan bir ziyaretçi sayacı sistemine gizlenmişti. Amaç, belirli bölgelerdeki iPhone kullanıcılarının verilerini gizlice toplamak ve hedefli gözetim yapmaktı.
Coruna daha sonra tamamen farklı bir kullanım alanında tekrar ortaya çıktı. Bu kez araç, Çince kripto para ve kumar sitelerini hedef alan kitlesel saldırılarda kullanıldı. Bu saldırılarda savunmasız iOS sürümüne sahip herhangi bir kullanıcı, siteyi ziyaret ettiği anda cihazına kötü amaçlı yazılım bulaştırma riskiyle karşı karşıya kaldı. Araştırmacılar bu kampanyada yüklenen zararlı yazılımların özellikle şu verilere odaklandığını belirtiyor:
kripto para cüzdanları
borsa hesap bilgileri
e-posta verileri
fotoğraflar ve cihaz içi veriler
iVerify’ye göre yalnızca bu finansal saldırı kampanyasında yaklaşık 42.000 farklı iPhone’un enfekte olmuş olabileceği tahmin ediliyor.
NSA bağlantılı eski exploitlerle benzerlik gösteriyor
Güvenlik araştırmacıları Coruna'nın kod yapısının, 2023 yılında ortaya çıkan ve Kaspersky'yi hedef alan “Triangulation” operasyonu ile bazı teknik benzerlikler taşıdığını belirtiyor. Bu operasyon Rus yetkililer tarafından ABD NSA’sına atfedilmişti. Washington ise bu iddialar hakkında resmi bir açıklama yapmadı. iVerify kurucu ortağı ve eski NSA çalışanı Rocky Cole, Coruna kodunun İngilizce konuşan geliştiriciler tarafından yazıldığını ve daha önce ABD hükümeti programlarıyla ilişkilendirilen bazı mühendislik izlerini taşıdığını belirtiyor. Cole’a göre Coruna büyük ihtimalle ABD merkezli bir müşteri için geliştirilmiş veya satılmış bir exploit çerçevesi, ancak daha sonra kontrol dışına çıkarak farklı grupların eline geçmiş olabilir.
EternalBlue benzeri bir sızıntı riski
Uzmanlar bu durumu, geçmişte yaşanan EternalBlue olayına benzetiyor. EternalBlue, NSA tarafından geliştirilen bir Windows açığıydı ve daha sonra sızdırılarak WannaCry ve NotPetya gibi büyük siber saldırılarda kullanılmıştı. Benzer şekilde Coruna da artık yalnızca tek bir aktörün kontrolünde değil. Google’a göre exploit teknikleri farklı gruplar tarafından incelenmiş ve yeni saldırılara uyarlanabilecek hale gelmiş durumda. Bu durum, güvenlik araştırmacılarının “ikinci el exploit pazarı” olarak adlandırdığı yeni bir ekosistemi de ortaya koyuyor. Bu pazarda devletler için geliştirilen sıfır gün açıkları, aracı firmalar aracılığıyla başka devletlere veya siber suç örgütlerine satılabiliyor.
Güvenlik uzmanları, exploit aracıları olarak bilinen şirketlerin bu süreçte önemli rol oynadığını söylüyor. Bu şirketler, yüksek ücretler karşılığında sıfır gün açıklarını satın alıp istihbarat kurumlarına, kolluk kuvvetlerine veya özel müşterilere satabiliyor. Ancak bazı durumlarda bu araçlar birden fazla müşteriye satılabiliyor veya sızdırılabiliyor. Yakın zamanda yaşanan bir olay da bu riskin gerçek olduğunu gösterdi. ABD savunma şirketi Trenchant çalışanlarından Peter Williams, işvereninden en az sekiz sıfır gün açığını çalarak Rusya merkezli bir aracıya sattığını kabul etti. Savcılar bu olayın yaklaşık 35 milyon dolarlık zarara yol açtığını belirtiyor.
iPhone kullanıcıları için risk devam ediyor
Apple, Coruna tarafından kullanılan bilinen güvenlik açıklarının çoğunu yeni iOS sürümlerinde yamalamış durumda. Ancak araştırmacılar, exploit tekniklerinin farklı varyasyonlarla tekrar kullanılabileceği konusunda uyarıyor.
Bu nedenle uzmanlar kullanıcıların:
iOS cihazlarını sürekli güncel tutmasını
bilinmeyen sitelerden uzak durmasını
güvenlik güncellemelerini geciktirmemesini
özellikle tavsiye ediyor.
Coruna olayı, devlet düzeyinde geliştirilen siber araçların kontrol dışına çıktığında nasıl kitlesel siber suç araçlarına dönüşebileceğinin en yeni örneklerinden biri olarak görülüyor.
Henüz hiç yorum yapılmamış. İlk yorumu sen yap!
