HarpyEagle | CyberThink Raporu

Siber Güvenlik Düşünce kuruluşu olarak faaliyet gösteren CyberThink tarafından hazırlanan raporda CIA Bilgi İşlem Ajansı Yerleşik Geliştirme Şubesi’nin HarpyEagle Projesi incelendi. CyberThink tarafından hazırlanan rapor;

HarpyEagle, Apple markalı Airport Extreme ve Time Capsule ağ bağlantılı cihazlardaki güvenlik açıklarını araştırmak ve kullanmak için CIA’nin Bilgi İşlem Ajansı Yerleşik Geliştirme Şubesi tarafından oluşturulan bir projedir.

CIA tarafından kullanılan HarpyEagle projesinin hedef aldığı birden fazla iOS, Mac ve AirPort zafiyetiyle ilgili ayrıntılar açığa çıkmıştır. Belgeler Apple cihazlarına karşı çok sayıda zafiyetin kullanıldığını ortaya koymaktadır. İstihbarat servislerinin Apple dahil olmak üzere birçok satıcıya ait ürünlerin güvenlik önlemlerini aşmak için birlikte çalıştıklarına dair çeşitli raporlar bulunmaktadır.

Zafiyet iddialara yanıt veren Apple, ilgili ürünlerdeki yazılımların güvenlik zafiyetlerinin giderildiğini açıkladı. Ayrıca tüm Apple ürünlerine ilişkin güvenlik açıklarının bulunması ve kapatılması üzerinde çalışılacağına dair açıklamada bulundu.

Apple’ın açıklaması, BuzzFeed’den John Paczkowski tarafından Twitter’da yayınlandı:

“Apple, müşterilerimizin gizliliğini ve güvenliğini korumaya büyük önem veriyor. Günümüz iPhone’unda yerleşik olarak bulunan teknoloji, tüketiciler için mevcut olan en iyi veri güvenliğini temsil ediyor ve bu şekilde kalması için sürekli çalışıyoruz. Ürünlerimiz ve yazılımlarımız, güvenlik güncellemelerini müşterilerimize hızlı bir şekilde ulaştırmak için tasarlanmıştır ve kullanıcıların yaklaşık yüzde 80’i işletim sistemimizin en son sürümünü çalıştırmaktadır. İlk analizimiz, bugün sızan sorunların çoğunun en son iOS’te zaten yamalanmış olduğunu gösterse de, tespit edilen tüm güvenlik açıklarını hızla gidermek için çalışmaya devam edeceğiz. En son güvenlik güncellemelerine sahip olduklarından emin olmak için müşterilerimizi her zaman en son iOS’u indirmeye ve kurmaya davet ediyoruz. “

Proje, CIA için birden fazla yazılım aracı içerir

BadUSB

CIA geliştiricileri bunu, USB bellek sürücüleri aracılığıyla hedef cihazları enfekte etmek için olası bir vektör olarak geliştirmiştir.

USB Rubber Ducky

USB üzerinde çalışan bir tuş vuruşu enjeksiyon saldırısı aracıdır.

Facedancer21

Bir klavyede gerçekleşen tuş vuruşlarının uzak bir bilgisayara gönderen bir istemcidir.

HarpyEagle Projesi nasıl çalışır?

Harpy Eagle projesinin temel hedefi, Apple Airport Extreme Gateway ve Apple Time Capsule Router üzerinde root (Linux tabanlı işletim sistemlerinde bulunan en yüksek yetkili kullanıcı) seviyesinde erişim sağlayarak bu cihazların depolama alanlarına yerel veya uzak bir şekilde sürekliliğini koruyacak ve sistemde kalıcı olarak bulunacak bir rootkit enjekte etmektir.

Apple Airport Gateway Nedir?

Apple Airport cihazı bir Router, Network Switch, Kablosuz Erişim Noktası ve NAS (Network Attached Storage) özelliklerini toplu şekilde içerisinde bulunduran bir Gateway cihazıdır.

Apple Airport Extreme Gateway Nedir?

Apple Airport Extreme’e görünüş olarak çok benzeyen bu cihaz, yine apple AirPort ürün ailesinin bir üyesidir ve özetle NAS‘a (Network Attached Storage) sahip bir Gateway Router cihazıdır.

Hedef alınan sistemler üzerinde ne tür servislerin çalıştığının analizini yapmak, bu servislerin sahip olabilecekleri güvenlik zafiyetlerini araştırmak için her güvenlik testinde olduğu gibi öncelikle sisteme yönelik bir port taraması işlemi ve analizi gerçekleştirilmelidir. Yapılan port tarama sonuçları aşağıdaki gibidir:

Airport Time Capsule (Bridged & Routed Mode)

Sistem Port Analizleri

Bir önceki adımda gerçekleştirilen port tarama işlemini daha da ilerleterek portlar üzerinde çalışan servislerin detaylı analizi için yine nmap aracından faydalanılabilir;

Airport Time Capsule Nmap Sonuçları

Kriptografik Analizler

Tespit edilen hedef uygulama üzerinde yapılacak analizleri derinleştirmek ve sistem üzerinde encrypted şekilde giden verilerin daha ayrıntılı tespitini yapabilmek adına, sistem üzerindeki encryption mekanizmalarına yönelik analizler yapılmıştır. Yapılan analizler sonucunda, Airport Extreme ürünü üzerinde açık olan 5009 numaralı portta client tarafında Channel Encryption işlemi öncesinde gerçekleşen key exchange işlemi sırasında büyük olasılıkla Diffie-Hellman algoritmasına sahip kriptografik anahtar tespit edilmiştir.

Firmware Reverse Engineering

Parsing işlemi için kullanılan BinWalk aracı ile, imaj dosyası içerisindeki bütün ikili sayı sistemi dosyaları olmasa da bazı dosyalar parse edilmiştir ve geriye kalan binary dosyaları manuel olarak incelenmiştir.

BinWalk aracı ile bulunmuş “Unix path” bilgisi Broadcom/AppleCFE Bootloader içerisinde bulunan stringlerden elde edilmiştir. Bu noktadan sonra CFE Bootloader analizinin yapılması gerekmektedir. Bunun devamında, yine BinWalk tarafından bulunan “LZMA compressed data” bilgisi Broadcom/Apple CFE Bootloader ile ilişkilendirilebilir. Bu noktadan sonra bu veriye GHidra aracı ile reverse işlemi uygulanmıştır. Devamında yapılan çalışmalarda, offset OpenSSH RSA1 private key v1.1 offset’i üzerinde BinWalk ile 5 adet anahtar bulunmuştur.

Tersine mühendislik işleminin sonucunda, Apple Airport cihazlarının NetBSD kernel seviyesine inilmiş ve burada bulunan veriler işlenmek üzere toplanmıştır.

External Network Communication Analizi

Bir donanım aygıtında bu aygıtın dış dünya ağı ile geçtiği iletişim bu cihazın güvenliği için büyük önem arz etmektedir. Bu noktada, cihazın dış ağlar ile olan bağlantıları incelenerek cihazın WAN portu üzerinde DHCP ve DNS sunucuları çalışmakta olduğu tespit edilmiş, gerçekleştirilen DNS sorguları üzerinden aşağıdaki URL bilgilerine ulaşılmıştır.

Siber Güvenlik Düşünce kuruluşu CyberThink tarafından hazırlanan raporun tamamına ulaşmak için tıklayınız.

İlgili Olarak