Siber Güvenlik ve Altyapı Güvenliği Ajansı, ticari casus yazılım operatörlerinin mesajlaşma platformlarını hedef alarak kişisel cihazlarda sıfır tıklama sömürü uygulamak üzere hedef aldığına dair bir uyarı yayınladı. Ajans, saldırganların hükümet yetkilileri ve sivil toplum üyeleri ve özel sektördeki üst düzey kişiler dahil olmak üzere yüksek değerli bireylere odaklandığını bildiriyor. Tavsiyeye göre, saldırganların bağlı cihaz özelliklerini ve hesap kurtarma araçlarını manipüle edebilmesi nedeniyle şifreli mesajlaşma programları teslimat kanalı olarak kullanılıyor.
CISA, son faaliyetlerin WhatsApp, Signal ve Telegram ile ilgili olduğunu belirtti. Tavsiyeye göre, tehdit aktörleri sıfır tıklama açıklıkları ve sosyal mühendislik teknikleri kullanarak mağdurun herhangi bir etkileşimi olmadan cihazları ele geçirmelerini sağlıyor. Bir cihazın içinde operatörler, erişimi genişletmek, veri toplamak veya iletişimi izlemek için ek yükler yerleştirebilir. Ajans, bu operasyonların birden fazla bölgede gözlemlendiğini ve mobil hedefli casusluğa devam eden ilgiyi yansıttığını belirtti.
Teknikler ve belirlenen hedefler
Danışmanlıkta, birçok mağdurun diplomasi, savunma veya siyasi karar alma ile ilgili roller üstlendiği belirtilmektedir. Google’ın Threat Intelligence Group ve Palo Alto’nun Unit 42’sinden araştırmacılar, Rusya bağlantılı aktörlerin Signal’ın bağlantılı cihaz özelliğini kullanarak hesapları yansıttığı ve casus yazılım yaydığı kampanyaları tespit etti. Saldırganlar ayrıca hedef cihazları saldırgan altyapısına bağlamak için oltalama mesajları ve kötü amaçlı QR kodları kullandılar. Bu yöntemler, operatörlerin kullanıcı kolaylığı sağlamak için tasarlanmış özellikler aracılığıyla kontrolü kurmasına olanak tanır.
CISA, saldırganların bazen mağdurları sahte cihaz bağlantılarını onaylamaya ikna etmek için meşru mesajlaşma servislerini taklit ettiğini bildirdi. Diğer teknikler arasında, saldırgan kontrolündeki bilgileri eklemek için hesap kurtarma akışlarını sömürmek yer alır. Erişim sağlandıktan sonra, operatörler özel değişimleri gözlemleyebilir, kimlik bilgilerini çıkarabilir veya cihaz yeniden başlatmalarında aktif kalan süreklilik araçları kurabilir. Danışmanlık, bu taktiklerin tespit olasılığını azalttığını ve yetkisiz erişim süresini uzattığını açıklıyor.
CISA, şifreli mesajlaşma programlarının, saldırganlar cihaz bağlantı veya kurtarma mekanizmaları gibi özellikleri sömürdüğünde açığlığı ortadan kaldırmadığını uyardı. Yüksek değerli hedefler, kişisel cihazlarının profesyonel görevlerle bağlantılı hassas materyaller içermesi nedeniyle yüksek riskle karşı karşıyadır. Ajans, saldırganların özel iletişimi değerli istihbarat kaynakları olarak görmesi nedeniyle mesajlaşma platformlarının müdahaleler için stratejik ilgi noktaları haline geldiğini gözlemledi.
Danışmanlık, kullanıcıların mesajlaşma programlarındaki tüm bağlı cihazları doğrulamalarını ve QR kodlarını taramadan veya bilinmeyen kaynaklardan bağlantı taleplerini onaylamaktan kaçınmalarını öneriyor. CISA kullanıcıları, yüksek değerli bireyler için Mobil İletişim En İyi Uygulamalar Rehberi’nde yer alan rehberliğe ve sınırlı kaynaklarla faaliyet gösteren sivil toplum grupları için ek bir kaynağa yönlendirdi. Kullanıcılara, en güçlü kimlik doğrulama seçeneklerini etkinleştirmeleri, hesap aktivitelerini incelemeleri ve tanınmayan cihaz ilişkilendirmelerini kaldırmaları teşvik edilir.
Güvenlik analistleri, sıfır tıklama yöntemlerine geçişin, saldırganların yaygın korumaları atlayan tekniklere yatırım yaptığını gösterdiğini söyledi. Tavsiyeye göre, hassas bilgileri kullanan bireyler, kişisel cihaz güvenliğini daha geniş operasyonel risk stratejilerinin vazgeçilmez bir parçası olarak değerlendirmelidir. Mesajlaşma platformları, özel konuşmalara, iletişim listelerine ve kimlik doğrulama bilgilerine erişim isteyen tehdit aktörlerinin ilgisini çekmeye devam ediyor.