Haberler 
Coin Bilgisi 
Hakkımızda 
Google Tehdit İstihbarat Grubu(GTIG), Apple iPhone(iPhone) kullanıcılarını hedef alan yeni bir iOS ‘exploit kit’ini(tarayıcı ve sistem açıklarını zincirleyerek saldırı yapan araç) tespit etti. ‘Koruna(Coruna)’ adı verilen bu araç, kripto para cüzdanlarının ‘seed phrase’(geri yükleme için kullanılan ‘yedekleme ifadesi’) bilgilerini çalarak, cüzdanların tamamen ele geçirilmesini amaçlıyor. Bu durum, özellikle kripto para yatırımcıları için ciddi bir ‘varlık güvenliği’ riski olarak öne çıkıyor.
GTIG’nin 5’inde (yerel saatle) paylaştığı rapora göre Koruna, geliştiriciler arasında bu isimle anılıyor ve iOS 13.0 ile 17.2.1 arasındaki ‘güncellenmemiş’ iPhone’ları hedef alıyor. GTIG, Koruna’nın ‘5 adet tam iOS exploit zinciri’ ve toplam 23 farklı güvenlik açığından yararlanan modülden oluştuğunu belirtiyor. Bu açıklar arasında daha önce kamuya açıklanmamış, ‘sıfır gün(zero-day)’ olduğu tahmin edilen zafiyetler de yer alıyor.
GTIG, Koruna’yı ilk kez 2025 Şubat’ında tespit ettiğini, ardından Rusya bağlantılı olduğundan şüphelenilen bir istihbarat/operasyon ekibinin bu aracı Ukrayna’daki iPhone kullanıcılarına karşı kullandığına dair izleri takip ettiğini aktardı. Daha sonra ise ‘sahte Çin kripto para siteleri’ üzerinden yürütülen, kripto para hırsızlığı odaklı saldırılarda da aynı aracın kullanıldığına dair bulgular elde edildiği ifade edildi.
Google, Koruna exploit kitinin iOS’in en güncel sürümünde çalışmadığının altını çizdi. Bu nedenle kullanıcılara, iPhone işletim sistemini mümkün olan en son sürüme güncellemeleri tavsiye ediliyor. Güncelleme yapamayan kullanıcılar içinse, Apple’ın ‘hedefli ve gelişmiş saldırılara’ karşı geliştirdiği ‘Lockdown Mode(‘kilitleme kipi’ olarak bilinen gelişmiş güvenlik modu)’ özelliğini etkinleştirmek alternatif bir koruma adımı olarak öne çıkarılıyor.
GTIG, 2025 Şubat’ında bir gözetim(surveillance) şirketinin müşterisine ait altyapı üzerinden, kullanıcı cihazlarını ‘fingerprinting’(cihaz parmak izi çıkarma) yöntemiyle analiz eden bir JavaScript akışını kısmen ortaya çıkardıklarını açıkladı. Bu akışta, önce kullanıcının cihaz modeli, tarayıcısı ve iOS sürümü gibi bilgiler toplanıyor, ardından bu ortama en uygun exploit zinciri seçilerek cihaza gönderiliyor. Bu tür ‘fingerprinting’ süreçleri, saldırıların başarı oranını yükseltmek ve tespit edilme olasılığını düşürmek için sıkça kullanılıyor.
2025’in ikinci yarısında ise aynı JavaScript çerçevesinin, ele geçirilmiş birden fazla Ukrayna web sitesine gizlenmiş olduğu tespit edildi. GTIG, bu kodun yalnızca ‘belirli bir coğrafi konumdaki(geolocation)’ seçili iPhone kullanıcılarına gönderilecek şekilde yapılandırıldığını belirtiyor. Bu yaklaşım, ‘geniş kitleleri rastgele hedef almak’ yerine, belirli profillere odaklanarak saldırıları daha ‘sessiz’ hale getirmeyi amaçlayan klasik bir ‘hedefli saldırı’ taktiği olarak değerlendiriliyor.
GTIG, 2025 Aralık’ında aynı çerçevenin bu kez “geniş bir sahte Çinli web sitesi ağı” içinde yer aldığını duyurdu. Bu sitelerin çoğunun finans temalı kurgulandığı, bir bölümünün ise kripto para borsası Weex’i(WEEX) taklit ettiği bildirildi. Böylece hem geleneksel finans hem de kripto para kullanıcıları aynı altyapı üzerinden tuzağa çekilmiş oldu.
Kullanıcı iOS cihazıyla bu sahte sitelerden birine girdiğinde, JavaScript çerçevesi Koruna exploit kitini indiriyor ve cihazdaki ‘finansal bilgileri’ taramaya başlıyor. GTIG’nin analizine göre saldırı kodu, özellikle seed phrase içeren metinleri yakalamaya çalışıyor. Bunun için ‘backup phrase’, ‘bank account’ gibi belirli anahtar kelimeleri arayarak, hassas finansal verileri seçip saldırganlara aktarıyor. Bu da, kripto cüzdanların yanı sıra banka hesabı bilgilerinin de risk altında olabileceği anlamına geliyor.
Ayrıca Koruna’nın, Uniswap ve MetaMask gibi popüler kripto para uygulamalarını tespit edip, bu uygulamalar üzerinden kripto varlıkları veya kritik kullanıcı verilerini dışarı sızdırmaya yönelik özel fonksiyonlara sahip olduğu da ortaya konmuş durumda. ‘Seed phrase + iOS exploit’ birleşimi, kullanıcıların mobil cihazı üzerinden doğrudan cüzdanlarının boşaltılabildiği yeni bir saldırı modeli yaratıyor.
Koruna’nın arka planında kimin olduğu konusunda ise görüş birliği yok. GTIG, exploit kitin hangi gözetim şirketinin hangi müşterisinden çıktığını netleştirmedi. Buna karşın, mobil güvenlik firması iVerify, WIRED’e yaptığı açıklamada “bu aracın ABD hükümeti tarafından geliştirilmiş ya da satın alınmış olabileceği” ihtimalini gündeme getirdi.
iVerify’ın kurucu ortağı Rocky Cole, söz konusu kitin “son derece sofistike olduğu, geliştirilmesi için muhtemelen milyonlarca dolar(‘yüz milyonlarca lira’ seviyesinde) harcandığı ve geçmişte ‘resmi olarak ABD hükümetine atfedilmiş’ bazı modüllerle benzer nitelikler taşıdığı” görüşünü paylaştı. Cole, “Kodun kendisinin işaret ettiği unsurlara bakıldığında, bu aracın ‘ABD devleti menşeli bir siber saldırı aracı’ olup artık kontrolden çıkarak hem düşman aktörlere hem de siber suç örgütlerine yayılmış olma ihtimali öne çıkıyor” yorumunu da yaptı.
Öte yandan Kaspersky cephesi daha temkinli. Şirketten bir kıdemli güvenlik araştırmacısı, The Register’a yaptığı değerlendirmede, “Sadece kamuya açık raporlara bakarak Koruna’nın aynı geliştirici gruba ait olduğuna dair yeterli ‘kod yeniden kullanımı’ kanıtı görmediklerini” belirtti. Yani Kaspersky’ye göre, şu anki verilerle Koruna’yı doğrudan belirli bir devlet ya da daha önce bilinen bir siber operasyon ekibiyle eşleştirmek zor.
iOS exploit kitleri ile seed phrase hırsızlığının bir araya gelmesi, ‘akıllı telefon güvenlik güncellemelerindeki gecikmenin, doğrudan kripto varlık riski’ anlamına geldiğini net biçimde gösteriyor. Sektör genelinde, yalnızca borsa ve cüzdan uygulamalarının güvenliğinin değil, kullanıcı cihazlarının işletim sistemini güncel tutmanın ve Apple’ın Lockdown Mode gibi ileri seviye koruma özelliklerinden yararlanmanın artık ‘kripto para güvenliğinin temel şartı’ haline geldiği vurgulanıyor. Özellikle kripto cüzdanlarını iPhone üzerinde tutan kullanıcıların, seed phrase saklama biçimlerini yeniden gözden geçirmesi ve OS güncellemesi + Lockdown Mode kombinasyonunu değerlendirmesi, ‘asgarî güvenlik seviyesi’ olarak öne çıkıyor.
Yorum 0