pegasus

• iddia edilene göre nso group'un geliştirdiği yazılım olan pegasus daha çok su kaldırır - havayolu firmasını bilemem. amnesty international'ın raporuna göre ortada çok acayip şeyler dönmüş, dönüyor ve dönmekte.
  
  bu casus yazılım zero-click dediğimiz bir saldırı metodunu kullanıyor. burada ise senaryo size gelen bir sms üstünden tetikleniyor ve sizin bu smsteki linke tıklamanız bile gerekmiyor. rapordan anlaşılan şey şu, ios 14.6 cihazınız varsa imessage üzerindeki bir zaafiyet ile pegasus yüklenebiliyor. yani nso group en son model iphonelara sızabiliyor. bu da apple'ın imessage güvenliği ile alakalı ciddi bir sorunu olduğunu gösteriyor bize tabak gibi. amnesty international'ın raporu pegasus saldırılarının ios'u hedef aldığı yönünde bu arada.
  
  pegasus spyware'ın yönlendirdiği zaafiyetler kalıcı değil, yani reboot ettiğinizde sisteminize geri yüklenmiyor bunun için tekrardan zero-click'in tetiklenmesi gerekiyor. bu da sanırım birkaç ay önce bu konuda bahseden "ya işte şu ülkelere girildiğinde siliyor kendisini" algısını yaratan bir şey oldu. ama esasen olay analizden kaçınmak. gerçekten de böyle bir şey olabilir bu arada, zira spyware tespit edilmemek adına her şeyi yapıyor amnesty international'ın raporuna bakılırsa. mesela 9.1'de bahsedildiği üzere 4 katmanlı bir yapı kullanılıyor. özet geçmem gerekirse:
  
  1. doğrulama serverı: gelen istek geçerli ve halen aktif bir adresten geliyorsa kurbanı exploit'in yükleneceği servera yönlendiriyor; değilse sahte ama zararsız bir siteye yönleniyor
  2. enfeksiyon dns serverı: burada her exploit denemesi için benzersiz bir subdomain üretildiği ve kısa süre hayatta kaldığı için tespiti zor. bu subdomainleri kullanabilmek için kendi dns serverlarını çalıştırıyorlar.
  3. pegasus yüklenme serverı. taramadan kaçmak için webserver'ı rastgele ama çok rastlanılmayan bir portta çalıştırıyorlar deniliyor
  4. yönetim ve kontrol serverları. pegasus yönetim ve kontrol için ayrı domainler kullanıyor.
  
  ilerleyen zamanlarda domainler yerine url kısaltıcılar kullansa da rapor edildiği kadarıyla kullanılan domainler şu listede bulunabilir. eğer pihole kullanıyorsanız falan deny list'e alabilirsiniz. çok acayip domainler var benim gözüme çarpan şeyler
  
  - pastesbin.com
  - cryptocurrecny.com
  - turkeynewsupdates.com
  - turkishairines.info
  
  falan oldu.
  
  yani bu türden bir saldırıya karşı son kullanıcı olarak bir şey yapabilmeniz zor. zira size bir sms geliyor ve sms sizin iradeniz dışında işletim sisteminiz tarafından tetikleniyor. olası tek önerim güncellemelerinizi almanız, ve güvenlik güncellemelerini kesinlikle pasgeçmemeniz.
  
  edit:
  https://www.youtube.com/watch?v=lvnwhmbobqy adresinden telefonunuza yüklenmiş bir spyware ile neler yapılabildiği görülebilir.
  
  kaynaklar:
  - https://www.amnesty.org/…-catch-nso-groups-pegasus/
  - https://twitter.com/…zak/status/1416801439402262529
  - https://github.com/…ster/2021-07-18_nso/domains.txt