Kaspersky iShutdown: Pegasus Casus Yazılımını Algılama Aracı

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), gazetecilere ve aktivistlere yönelik hedeflenen popüler bir iOS casus yazılımı olan Pegasus’u tespit etmelerine olanak tanıyan yeni bir araç olan iShutdown’u tanıttı. Bu hafif yöntem, Pegasus, QuaDream’ın Reign ve Intellexa’nın Predator olmak üzere üç önemli casus yazılım ailesinin belirtilerini Apple iOS cihazlarında tespit edecektir.

iShutdown aracı şu anda kamuya açık olarak kullanılabilir durumda, Kaspersky Labs’ın çalışanlarının iPhone’larının hacklenmesini içeren Operation Triangulation olarak adlandırılan bir olayın yedi ay sonra. Aralık 2023’te şirket, muhtemelen casus yazılım saldırıları sırasında hacker’ların iPhone kullanıcılarına karşı belirsiz bir donanım özelliğini istismar ettiğini açıklayan bir güncelleme yayınladı.

Yöntem, Pegasus tarafından etkilenmiş iPhone seti üzerinde test edildi. Ancak bu yöntem/aracın, Mac cihazlarının kapanmasına/yeniden başlamasına/log out yapmasına izin veren iShutdown iOS uygulamasından farklı olduğunu belirtmek önemlidir.

Güvenlik şirketine göre, Pegasus ile kompromize edilmiş iPhone’larda, “Shutdown.log” adlı bir metin tabanlı sistem günlüğü dosyasında Pegasus ile ilgili süreç izlerine rastlandı.

Günlük dosyası, iOS cihazlarının sysdiagnose arşivinin içinde depolanır. Her yeniden başlatma olayını çevresel özellikleriyle birlikte kaydeder ve genellikle gözden kaçan bir adli eserdir. Birkaç yıl öncesine ait girişlere sahip olabilir, bu da değerli bilgiler sağlar. Bir kullanıcı yeniden başlatma başlatıldığında, işletim sistemi çalışan süreçleri sonlandırır, bellek önbelleklerini temizler ve normal bir yeniden başlama için bekler.

Anomalilerin tespit edilmesi, aracın potansiyel enfeksiyonları yüksek doğrulukla işaretlemesine izin veren dörtten fazla yeniden başlatma gecikme bildiriminde Pegasus ile ilgili süreçlerin bulunduğu ortaya çıktı. Yapılan daha fazla analiz, tüm üç casus yazılım ailesi için benzer bir dosya sistemi yolunu, “Pegasus ve Reign için /private/var/db/” ve Predator için “/private/var/tmp/” kullanıldığını, bir kompromis göstergesi olarak ortaya koydu.

Kaspersky GReAT lider güvenlik araştırmacısı Maher Yamout, günlüğün diğer Pegasus enfeksiyonlarıyla tutarlı olduğunu doğrulayarak, bu aracın bir enfeksiyon analizi için güvenilir bir adli eser olduğunu belirtti. Aracın daha geniş bir kullanıcı kitlesine gelişmiş koruma sağlaması amaçlanmıştır.

“Bir adli cihazın görüntüsü almak veya tam bir iOS yedekleme işlemi gibi daha zaman alıcı edinim yöntemleriyle karşılaştırıldığında, Shutdown.log dosyasını kurtarmak oldukça basittir,” diye açıkladı Yamout.

Kaspersky, macOS, Windows ve Linux kullanıcıları için GitHub’ta bir Python3 yardımcı programı geliştirdi. Aracı, Shutdown.log kalıntılarını çıkarır, analiz eder ve çözümler. Bu, kullanıcılara dijital güvenliklerini kontrol etme gücü vererek tespiti basitleştirir ve farkındalığı artırır.

Kaspersky’nin iShutdown Aracı, iOS Cihazlarda Pegasus Casus Yazılımını Algılıyor Ancak Kaspersky, kullanıcıların veri ve cihaz güvenliği konusunda bütünlük yaklaşımını benimsemelerini öneriyor. Şirket, kullanıcıların günlük olarak yeniden başlatma yapmalarını, kilit modunu kullanmalarını, iMessage ve FaceTime’ı devre dışı bırakmalarını, zamanında iOS güncellemelerini ve düzenli kontrol yedeklemelerini yapmalarını önermektedir.

Bu duyuru, SentinelOne’ın raporunun ardından geldi; KeySteal, Atomic ve JaskaGo gibi macOS’ı hedef alan bilgi çalanlarının, Apple’ın XProtect adlı yerleşik antivirüs teknolojisini atlatmak için hızla adapte olduğunu ortaya koydu.