Güvenlik uzmanlarınca yapılan yeni bir araştırmada, binlerce Mac’in bünyesinde daha önce hiç görülmemiş bir kötü amaçlı yazılım ortaya çıktı.
Dünya çapında neredeyse 30.000 Mac‘te bulunan ve önceden tespit edilmemiş bir kötü amaçlı yazılım parçası olan Silver Sparrow, siber güvenlik ortamlarında ilgi çekmeye başladı. Bunun nedeni ise yazılımın ne amaçla çalıştığı ve niçin kendini imha etme özelliğine sahip olduğunun bir türlü anlaşılamaması. Bu noktada da güvenlik araştırmacıları, uzun zamandır Silver Sparrow’un ne olduğuna dair derin bir çalışma içerisine girmiş durumda.
Yaklaşık olarak 30.000 Mac’te bulunduğu tahmin edilen Silver Sparrow, nihai bir hedefe bağlı olarak çalışmıyor. İşin garip tarafı, bulaştığı sistemler içerisinde sadece saatte bir kez bağlı olduğu kontrol sunucusuyla iletişime geçip çalıştırması gereken yeni komutlar veya yürüteceği ikili dosyalar olup olmadığını kontrol ediyor. Ancak araştırmacılar, virüs bulaşmış 30.000 makine içerisinde şimdiye kadar herhangi bir veri akışı ve çalıştırılmış bir komutla karşılaşmadıklarını açıkladılar. Bundan dolayı yazılımın bilinmeyen bir koşulla tetiklendiği zaman aktif hale geleceği düşünülüyor.
Ayrıca, bu kötü amaçlı yazılım kendini tamamen ortadan kaldıracak mekanizmayla birlikte geliyor. Uzmanlara göre kendini yok etme özelliğine sahip virüsler genellikle büyük yasadışı operasyonlar için geliştirilir fakat şimdiye kadar kendi kendini yok etme özelliğinin kullanıldığına dair de hiçbir işaret yok. Şu aşamada yaptığı tek şey kendini Mac bilgisayarlar üzerinde konaklatmak.
Silver Sparrow’un üzerinde yapılan bazı araştırmalarda, virüsün kontrol sunucusundan gelen komutları çalıştırması için macOS Installer JavaScript API‘sinin kullandığı anlaşıldı. Bu da, gelen komutların içeriğinin anlaşılmasını zorlaştırıyor. Bunun yanında bahsedilen kontrol sunucularının Amazon web servislerini ve Akamai içerik dağıtım ağını kullanması sebebiyle, yazılımın internetle bağlantısını engellemek de bir o kadar güç. Apple’ın yeni M1 çipine karşı uyumluluk göstermesi de durumun ne kadar ciddi olduğunu gözler önüne seriyor.
Kötü amaçlı yazılıma Silver Sparrow ismini veren ise, virüsü ilk keşfeden güvenlik firması Red Canary. Şirketin konuyla alakalı yaptığı bir açıklamada: “Silver Sparrow’un kötü amaçlı veri akışı sağladığını henüz gözlemlememiş olsak da; ileriye dönük M1 çip uyumluluğu, küresel erişim gücü, nispeten yüksek bulaşma oranı ve operasyonel olgunluğu, Silver Sparrow’un oldukça ciddi bir tehdit olduğunu gösteriyor.” sözlerine yer verdi. Red Canary, Silver Sparrow’la alakalı geçen Perşembe yayınladığı blog yazısında da “Şeffaflık ilkemiz içerisinde açıkça söylediğimiz endişe nedenleri göz önüne alındığında, bildiğimiz her şeyi güvenlik endüstrisi ile paylaşmak istedik.” diyerek kötü amaçlı yazılımın bilinen bazı teknik detaylarını herkese açık olarak sundu.
Özet olarak Silver Sparrow, Intel x86_64 işlemcilerde ve M1 çiplerde çalışmak için iki ayrı versiyona sahip. Kötü amaçlı yazılımın nereden dağıldığı ve nasıl bulaştığı ise tam olarak belirsizliğini koruyor. Virüs şu an da aktif olmadan Mac bilgisayarlarda yer alsa da tetikleyici bir unsur geliştiğinde sisteme nasıl bir zarar vereceği konusunda net bilgi maalesef yok. Apple ise konuyla alakalı verileri incelendiğini, gerekli adımların atılacağını belirtiyor.
Bana daha çok Red Canary kendi reklamını yapmış gibi geldi.