Sıfırıncı Gün Zafiyetlerinden Yararlanan Yeni Bir Taşınabilir Casusluk Kampanyası Keşfedildi

Google ve Milletlerarası Af Örgütü araştırmacıları tarafından sıfır-gün güvenlik açıklarıyla iOS ve Android kullanıcılarını maksat aldığı tespit edilen iki akın teşebbüsü engellendi.

Her iki teşebbüs de devlet takviyeli siber casusluk teşebbüslerinin izlerini taşıyor ve Malezya, Kazakistan, İtalya ve Birleşik Arap Emirlikleri’ndeki kurbanlara çeşitli ziyanlar verdiği biliniyor.

Bu hücumlarda devlet takviyeli hackerlar hem iOS hem de Android için sıfır-gün akınları kullanıyorlardı, bu da siber güvenlik profesyonellerinin daha evvel bilinmeyen güvenlik açıklarını düzeltmek için vakitleri olmadığı manasına geliyor. Sıfırıncı gün (zeroday) zafiyetleri siber hatalılar tarafından çok kıymetlidir zira çoklukla bilinen güvenlik tahlilleri tarafından tespit edilemezler. Ayrıyeten geliştirici tarafından şimdi keşfedilmediği için, büsbütün güncellenmiş telefonları bile ele geçirmeyi mümkün kıldığından epey tehlikeli.

Google Tehdit Tahlil Kümesi (TAG), bu ziyanlı kampanyasını birinci olarak Kasım 2022’de keşfettiğini ve iOS ve Android için hücum zincirini yakalayabildiğini belirtti. TAG, tespit ettiği güvenlik açıklarını geliştirici firmalara bildirdi ve Google’ın Chrome, Pixel, Android ve Apple kadrolarının bu açıkları süratli bir biçimde düzelttiğini söyledi. Memleketler arası Af Örgütü araştırmacılarına ise ikinci kampanyayı ortaya çıkarmasına yardımcı olduğu için teşekkür etti.

Uluslararası Af Örgütü açıklamasına nazaran bu hücumlar ve kampanyalar, hükümetlere satılan bir ticari siber nezaret şirketi tarafından geliştirilmiş bir casus yazılımın izlerini taşıyor.