Microsoft ve Citizen Lab, “görünmeyen iCloud takvim davetleri” sayesinde, ocak – kasım 2021 arasında iOS 1,4’den 14.4.2.’ye kadarki iPhone’ları etkileyen bir sıfırıncı gün açığını tespit ettiler. Bu açığı, İsrail merkezli bir şirket olan QuaDream tarafından yapılan ve ENDOFDAYS adlı sıfır tıklamalı yazılımı kullanan saldırganlar, istenen kişilerin iPhone’larını ele geçirebiliyor.
iOS cihazlarda geçmiş tarihli zaman damgalarına sahip iCloud takvim davetleri alındığında, bunlar herhangi bir bildirim veya istem olmaksızın otomatik olarak kullanıcının takvimine eklenerek ENDOFDAYS istismarının kullanıcı etkileşimi olmadan çalışmasına ve saldırıların hedefler tarafından tespit edilememesine olanak tanıyor.
QuaDream’in adı yakın zamana kadar duyulmamıştı. 2021’de İsrail gazetesi Haaretz, QuaDream’in Suudi Arabistan’a satış yaptığını yazınca ilgi çekti. Geçen yıl ise Reuters, QuaDream’in iPhone’ları hacklemek için NSO Group tarafından sağlanana benzer bir istismar geliştirdiğini yazdı. Citizen Lab araştırmacıları ise QuaDream’in ürünlerini satmak için InReach adlı Kıbrıs merkezli bir şirketi kullandığını iddia ediyor.
Citizen Lab araştırmacıları, ele geçirilen cihazların “QuaDream’in Kuzey Amerika, Orta Asya, Güneydoğu Asya, Avrupa ve Orta Doğu’daki casus yazılım ve istismarlarının en az beş sivil toplum kurbanına” ait olduğunu söyledi .
“Kurbanlar arasında gazeteciler, siyasi muhalefet figürleri ve bir STK çalışanı var. Şu anda kurbanların isimlerini vermiyoruz.”
Bu saldırıda dağıtılan gözetleme kötü amaçlı yazılımı (Microsoft tarafından KingsPawn olarak adlandırılıyor) ayrıca kendi kendini silerek, kurbanların iPhone’larındaki izleri temizliyor. Böylece tespit de edilemiyor. CitizenLab bunu şöyle açıkladı:
“Casus yazılımın, casus yazılımın geride bıraktığı çeşitli izleri temizleyen bir kendi kendini yok etme özelliği de içerdiğini bulduk. Kendi kendini yok etme özelliğiyle ilgili analizimiz, kurban cihazlarda keşfettiğimiz casus yazılım tarafından kullanılan bir işlem adını ortaya çıkardı.”
Casus yazılım, Citizen Lab’ın analizine dayalı olarak, çevresel ses ve aramaları kaydetmekten tehdit aktörlerinin kurbanların telefonlarını aramasına izin vermeye kadar çok çeşitli işler yapabiliyor. QuaDream’in casus yazılımını analiz ederken keşfedilen yeteneklerin tam listesi şöyle:
- Telefon görüşmelerinden ses kaydetme
- Mikrofondan ses kaydetme
- Cihazın ön veya arka kamerasından fotoğraf çekme
- Cihazın anahtar zincirindeki öğeleri dışarı sızdırma ve çıkarma
- Telefonun Anisette çerçevesini ele geçirmek ve keyfi tarihler için iCloud zamana dayalı tek seferlik parola (TOTP) oturum açma kodları oluşturmak için gettimeofday sistem çağrısını bağlamak. Bunun, kullanıcının verilerinin doğrudan iCloud’dan kalıcı olarak sızmasını kolaylaştırmak amacıyla, gelecek tarihler için geçerli olan iki faktörlü kimlik doğrulama kodları oluşturmak için kullanıldığından şüpheleniyoruz.
- Telefonda SQL veritabanlarında sorgu çalıştırma
- Sıfır tıklamalı istismarların geride bırakabileceği temizleme kalıntıları
- Cihazın konumunu izleme
- Belirtilen özelliklerle eşleşen dosyaları aramak da dahil olmak üzere çeşitli dosya sistemi işlemlerini gerçekleştirme
Citizen Lab, Bulgaristan, Çek Cumhuriyeti, Macaristan, Gana, İsrail, Meksika, Romanya, Singapur, Birleşik Arap Emirlikleri (BAE) ve Özbekistan dahil olmak üzere birçok ülkede QuaDream sunucuları buldu ve şöyle yorumladı :
“Nihayetinde, bu rapor, paralı asker casus yazılımı endüstrisinin herhangi bir şirketten daha büyük olduğunu ve hem araştırmacılar hem de potansiyel hedefler için sürekli ihtiyatın gerekli olduğunu hatırlatıyor. Ticari casus yazılımların kontrolden çıkarak çoğalması sistemik hükümet düzenlemeleriyle başarılı bir şekilde azaltılıncaya kadar, hem tanınabilir adlara sahip şirketler hem de hala gölgede kalan şirketler tarafından körüklenen kötüye kullanım vakalarının sayısı muhtemelen artmaya devam edecek. “
Bir yıl önce Citizen Lab, Katalan politikacıların, gazetecilerin ve aktivistlerin iPhone’larına NSO Group casus yazılımını yüklemek için kullanılan sıfır tıklamalı bir iMessage istismarının (HOMAGE olarak adlandırılır) ayrıntılarını da ortaya çıkardı.
QuaDream’in kötü amaçlı yazılımının keşfi, bir zamanlar Hacking Team ve FinFisher’ın hakim olduğu casus yazılım endüstrisinde yalnızca NSO Group’un olmadığını, çoğu hala gözden kaçan birçok şirket olduğunu düşündürüyor.