Hükümetlere ve istihbarat servislerine pazarlanan Predator, Intellexa şirketinin en bilindik ürünü.
Siber güvenlik araştırmacıları, dünya çapında hükümetler tarafından kullanılan Predator casus yazılımının bilinenden çok daha karmaşık olduğunu ortaya çıkardı.
Google ve Jamf tarafından yürütülen son araştırma, yazılımın bir "öz-tanılama" mekanizmasına sahip olduğunu ve başarısız saldırılardan ders çıkararak kendini geliştirdiğini gösteriyor.
Hükümetlere ve istihbarat servislerine pazarlanan Predator, Intellexa şirketinin en bilindik ürünü. Son rapor, bu casus yazılımın, rakibi Pegasus'tan daha aktif ve uyarlanabilir olduğunu kanıtlayan yeni yeteneklerini deşifre etti.
'Hata kodları' ile kendini geliştiriyor
Jamf araştırmacıları, Predator’ın başarısız bir sızma girişimi gerçekleştiğinde "neden başarısız olduğunu" geliştiricilerine raporlayan özel bir mimari keşfetti.
Yazılımın içine yerleştirilen hata kodu taksonomisi, şu durumlarda saldırıyı durdurup merkeze bilgi gönderiyor:
- Hedef cihazda güvenlik veya analiz araçları çalışıyorsa,
- Cihazda bir HTTP proxy yapılandırması varsa,
- Cihazın ortamı "şüpheli" (araştırmacıya ait) görünüyorsa.
Bu sistem, başarısız saldırıları birer "kara kutu" olmaktan çıkarıp, yazılımın bir sonraki versiyonu için değerli birer geliştirme verisine dönüştürüyor.
Yazılımın en dikkat çekici özelliklerinden biri, Apple’ın iOS 16 ile sunduğu "Geliştirici Modu"nu (Developer Mode) tespit edebilmesi. Eğer bir cihazda bu mod açıksa, Predator "Bu hedef normal bir kullanıcı değil, bir güvenlik araştırmacısı olabilir" diyerek sızma işlemini iptal ediyor.
Ayrıca yazılımın kodlarında, araştırmacıların kullandığı sanallaştırma aracı olan "is_corellium()" kontrolüne rastlanması, casus yazılım geliştiricilerinin siber güvenlik uzmanlarını tıpkı uzmanların onları izlediği kadar yakından takip ettiğini gösteriyor.
Adli bilişim karşıtı önlemler
Predator, yalnızca veri çalmakla kalmıyor, yakalanmamak için cihazın işletim sistemine de müdahale ediyor. Araştırma, yazılımın çökme günlüklerini (crash logs) hedef cihazdan sildiğini ortaya koydu.
Normal şartlarda bir saldırı girişimi cihazın kilitlenmesine neden olursa, bu durum günlük kayıtlarına geçer ve adli bilişim uzmanları tarafından fark edilebilir. Ancak Predator, bu kayıtları henüz senkronize edilmeden yok ederek dijital ayak izlerini siliyor.
Neden ABD ve İsrail’de çalışmıyor?
Veriler, Predator’ın ABD ve İsrail sınırları içindeki cihazlarda çalışmaktan kaçındığını doğruluyor.
Securityweek'e göre bu, büyük olasılıkla ABD hükümetinin Intellexa’ya uyguladığı yaptırımlardan ve Amerikan kurumlarının derin incelemesinden kaçınma amacı taşıyor. Ayrıca, şirketin kurucusu Tal Dilian’ın (eski bir İsrail istihbarat subayı), ülkesinin siber savunma kapasitesini çok iyi bilmesiyle ilişkilendiriliyor.