Güvenlik Önerileri

Siber Güvenlik Dünyasında Bir Başka Gizli Tehdit: Zero-Click Saldırısı

Bilgi Güvende

tarafından

13 Mayıs 2020

tarihinde yayımlandı

Siber güvenlik uzmanları dikkatlerini son dönemde giderek artan bir tehdide yönlendirdi: aktif olmak için hiçbir kullanıcı etkileşimine ihtiyaç duymayan, neredeyse dijital bir hayalet gibi ilerleyen zero-click saldırıları. Kötü amaçlı yazılım ve oltalama saldırıları gibi siber suçluların kullandığı başlıca yöntemlere karşı birçok önlem söz konusu, ancak zero-click saldırılarında çok daha fazlasına ihtiyaç var. Bu detaylı makalede saldırının temel özelliklerini inceleyerek alınması gereken önlemleri ele alacağız.

Zero-click saldırılarına neden oluşturabilecek zafiyetlerin sayısı çok fazla olmadığı için bu tip açıklar siber suçlular tarafından dikkatlice değerlendiriliyor. Zafiyetleri bulduklarında hedefteki kullanıcıyı sosyal mühendislik veya oltalama saldırısı ile tuzağa düşürmelerine gerek kalmıyor. Siber suç dünyasında önceden kullanılmamış bir yöntem olan zero-click, yapısı gereği zero-day (sıfır gün) saldırılarına benziyor.

Sıfır gün saldırıları, ilk kez tespit edilen bir güvenlik açığına yönelik henüz yama geliştirilmeden düzenlenen saldırıları temsil ediyor. Bu saldırılar nedeniyle henüz güvenlik önlemi bulunmayan zafiyetler tespit ediliyor, bildiriliyor ve gerekli çözüm üretiliyor. Zero-click saldırılarında ise tek taraflı bir senaryo söz konusu.

En iyi örneklerden biri, İsrail merkezli casusluk yazılımı şirketi NSO Group tarafından geçtiğimiz yıl geliştirilen WhatsApp sızıntı saldırısı. Saldırıyı gerçekleştirmek için sadece WhatsApp üzerinden kullanıcıların aranması yeterli oluyordu. Aranan kişi telefonuna dokunmasa bile kötü amaçlı yazılım devreye giriyordu. Haliyle, saldırıya uğrayan kullanıcının başına ne geldiğini anlaması mümkün olmuyordu. WhatsApp, güvenlik zafiyeti ortaya çıkar çıkmaz yama geliştirirken birçok insan hakları grubu ile temasa geçerek NSO Group hakkında şikâyette bulundu. Şirket ise kullanıcıların hedef alınması ve zero-click saldırısının düzenlenmesinde herhangi bir rolleri bulunmadığını öne sürdü.

Zero-click tanımı son derece yeni. WhatsApp’ın maruz kaldığı saldırılardan önce henüz böyle bir tanım yoktu. Son dönem analizler, zero-click saldırılarının zero-day ile arasındaki temel farklı iyice gözler önüne serdi: Saldırı, sadece devlet sponsorlu siber suç örgütlerinin kullanabildiği ileri teknolojileri gerektiriyordu. Zira Zero-click saldırılarının fark edilmemesini sağlayan temel unsur da arkasında kullanılan teknoloji.

Güvenlik uzmanları, siber suçluların zero-click ile önemli bir koz elde ettiklerini düşünüyor. Çünkü bu yöntem ile yapılan saldırı sadece %20 başarı gösterse bile tespit edilemediği için tekrarlanabiliyor. Dahası, halihazırda tespit edilmemiş durumda olan birçok zero-click saldırısı olduğu düşünülüyor.

Zero-click saldırısı nasıl düzenleniyor?

Saldırının mantığı, hedeflenen sistemlere gönderilen verilerin, sistem henüz verinin güvenilir olup olduğunu anlayamadan harekete geçmesini sağlamak. Zero-click saldırılarının ilk versiyonları, güvenlik bariyerleri olmayan sunuculara kötü amaçlı yazılım içeren veri paketleri göndermeyi kapsıyordu. İkinci basamakta ise siber suçlular, e-posta ve mesaj platformları üzerinde yeni siber silahlarını test etmeye başladı.

En son örnek, Apple’ın iOS Mail sisteminde tespit edilen ve zero-click saldırılarına kapı aralama potansiyeli bulunan üç adet zafiyet. Söz konusu zafiyetlerin Eylül 2012’de piyasaya sürülen iOS 6’dan bu yana geçerli olduğu ve o tarihten bu yana milyonlarca cihazı hedef haline getirmiş olabileceğine inanılıyor. Saldırı, siber suçlunun özel olarak tasarlanmış bir e-postayı hedefe göndermesi ile başlıyor. Apple’ın mevcut mobil işletim sistemi iOS 13‘e sahip bir akıllı telefonun kullanıcısı, inanması güç ama e-postayı açmasa bile telefonuna sızıntı gerçekleşiyor. Siber suçlular cihazın içine sızdıklarında yeni zafiyetler tespit etmek için yeni erişimler sağlıyor.

Apple’dan yapılan açıklamada Mail sisteminde tespit edilen zafiyetlerin iPhone ve iPad güvenlik bariyerlerini aşmaya yeterli olmadığı ve şu ana kadar kullanıcılara karşı saldırı delili bulunmadığı vurgulandı. Ayrıca güvenlik araştırmacıları, ilk saldırının ardından hedeflenen cihazın tamamen ele geçirilmesi için farklı türde kötü amaçlı yazılımların kullanılması gerektiğini kaydetti.

Öte yandan, Apple’ı hedef alan saldırılar farklı kişi ve şirketler üzerinde başarılı saldırılar gerçekleştirilmesini de beraberinde getirdi. ABD merkezli bir teknoloji şirketi, bazı gazeteciler, Almanya ve Japonya’dan üst düzey birer yönetici saldırılardan etkilenenler arasında.

Konunun diğer boyutu ise analizlerin önündeki engeller. Siber suçlular sızdıkları telefonlardaki e-postaları sildiği için güvenlik araştırmacıları söz konusu saldırıların düzenlenmesine neden olan ‘özel tasarım e-postaları’ analiz edemiyor.

Zero-click saldırılarının doğası, hedef üzerinde tek seferde %100 başarı elde edilmesinden çok adım adım sızıntı yapılması şeklinde. Güvenlik uzmanları, oluşturulan arka kapı ile cihazlara girilmesinin ardından “ifşa zinciri” oluşturulduğunu belirtiyor. Apple senaryosunda Mail’e yapılan sızıntı, bu zincirin ilk basamağını oluşturuyor. Siber suçlular zaman içerisinde sızmaya başardıkları cihazların içindeki erişimlerini artırarak saldırılarını genişletebiliyor.

Mevcut noktada, siber suçluların hiçbir kullanıcı etkileşimi gerektirmeden ve tespit edilmeden sadece e-posta kutusuna erişip istedikleri işlemi yapabilmeleri büyük bir risk olarak kabul ediliyor. Araştırmacılar, Apple’ın zero-click tehdidini uzun süre fark edememesini de normal karşıladı. Çünkü zero-click saldırıları arkalarında iz bırakmadan yok oluyor.

Google’ın Project Zero adlı ekibi tarafından Ağustos 2019’da yayınlanan rapor, Apple’ın iMessage hizmetinin de zero-click saldırılarına maruz kalabileceğine işaret etmişti. Siber suçluların sadece bir metin mesajı göndererek ve hiç iz bırakmadan saldırı düzenleyebileceği ifade edildi. Sebebi tüm mesajlaşma uygulamalarında bulunan baştan sona şifreleme (end-to-end encryption) bariyerinin aslında zero-click saldırılarının tespit edilmesini de engellemesi.

Zero-click saldırılarına karşı ne yapılabilir?

Güvenlik uzmanları, henüz yeni yeni adından söz ettiren zero-click saldırılarının ağırlıklı olarak iş faaliyetlerini yürütmek için mobil cihazları tercih eden kişi ve kurumları tehdit ettiğini belirtiyor. Akıllı telefonlar, siber suçlular için saldırı hedeflerini neredeyse sayısız kılıyor ve telefon numarası ile e-posta adresi bilinen kişiler doğrudan zero-click saldırısı riski altına giriyor. Bir metin mesajı veya e-posta gönderilmesi kullanıcı, o esnada uyuyor olsa bile saldırıya maruz kalmasına neden olabiliyor.

Zero-click hakkında bugüne kadar elde edilen bilgiler göz önüne alındığında, kullanıcıların şu anda alabileceği belli başlı bir önlem yok. Ancak zero-click hakkında dikkat edilmesi gereken önemli hususlar var.

Birincisi bu saldırının genelde casusluk veya dolandırıcılık için belli kişi ve kurumları hedef alması. İkincisi saldırının tespit edilemeyecek olmasının güvenlik unsurlarına dikkat edilmemesi anlamına gelmediği.

Mobil cihazlarda güvenlik yazılımı bulundurulması ve bu yazılımların sürekli güncel tutulması zero-click saldırılarının başarı şansını aşağı çekebilir.

Teknoloji devleri de zero-click saldırılarına karşı önlem alabilmek için ödül avcılığı programlarını yüksek bütçelerle desteklemeye başladı. Bu şirketlerin başında Apple’ın gelmesi de pek şaşırtıcı değil. Şirketin beyaz şapkalı hacker’lar için yürüttüğü bug bounty programında zero-click ile ilgili üç başlık eklendi. “Kullanıcı etkileşiminden bağımsız ağ saldırısı” başlığı altında açılan üç zero-click zafiyetinin toplam ödül miktarı eşine çok az rastlanacak şekilde 1 milyon 750 bin dolar.