'Flame'i Kaspersy keşfetti

YAYINLAMA
GÜNCELLEME





 
İSTANBUL - Bugüne kadarki en büyük ve karmaşık saldırı araç takımı olarak tanımlanan "Flame"in C&C altyapısı üzerinden çalıştığı ve farklı ülkelerdeki işletmeleri hedef aldığı açıklandı.

Güvenli içerik ve tehdit yönetimi çözümleri lideri Kaspersky Lab, kullanıcılara güvenlik çözümleri sunmakla kalmıyor, hiç aralık vermeden çoğalan zararlı yazılım ve virüsleri de keşfe devam ediyor. İşte Kaspersky Lab’in son keşiflerinden biri de farklı ülkelerdeki işletmeleri hedef alan yeni siber silah "Flame" oldu. Son derece karmaşık yapılı ve zararlı bu yazılım, Uluslararası Telekomünikasyon Birliği (ITU) tarafından desteklenen bir araştırmada, Kaspersky Lab uzmanları tarafından keşfedildi. Yapılan analizler sonucunda bu zararlı yazılımın bugüne kadarki en büyük ve karmaşık saldırı araç takımı olduğu ortaya çıkarıldı.

Kaspersky Lab analistleri, yazılımın siber bilgi kaçakçılığı için kullanıldığını ve verilerle hassas bilgileri çalmak üzere bilgisayarlara gireceğini ortaya çıkardı. Çalınan veriler, Flame’in komuta et ve kontrol et tipindeki C&C sunucularından birine gönderiliyor.

Kaspersky Lab, Flame’in C&C altyapısını yakından takip ediyordu ve bugün itibari ile buluntular hakkında, detaylı bir araştırma bildirisi yaptı.

GoDaddy ve OpenDNS işbirliği ile Kaspersky Lab, Flame’in C&C altyapısı tarafından kullanılan zararlı adreslerin çoğunluğunu tespit etmeyi başardı. Aşağıdaki detaylar analizin sonuçlarını özetliyor:

Yıllardır çalışan Flame C&C altyapısı, Kaspersky Lab, zararlı yazılımın varlığını geçtiğimiz hafta açıkladığı anda çevrimdışı oldu.

An itibariyle, 2008 ve 2012 yılları arasında kaydettirilen ve Flame tarafından kullanılan C&C sunucuları ve ilgili alan adlarından 80’den fazlası biliniyor.

Geçtiğimiz 4 yılda, Flame C&C altyapısına ev sahipliği yapan sunucular pek çok konum arasında hareketliydi. Bu konumların içinde Hong Kong, Türkiye, Almanya, Polonya, Malezya, Letonya, İngiltere ve İsviçre gibi ülkeler de bulunuyor.

Flame C&C alan adları, 2008 yılına kadar uzanan, etkileyici bir sahte kimlik ve benzeri kayıt bilgileri ile kaydettirilmişti.

Kaspersky Lab araştırmasına göre; virüsün bulaştığı kullanıcılar Orta Doğu, Avrupa, Kuzey Amerika ve Asya-Pasifik gibi pek çok bölgede bulunuyor.
Flame saldırganları, PDF, Office ve AutoCad çizimlerine karşı ilgi gösterdiği düşünülüyor.

Flame C&C sunucusuna yüklenen veri, nispeten basit algoritmalar ile şifreleniyor. Çalınan dokümanlar ise Zlib ve PPDM sıkıştırmasının modifiye bir sürümü ile sıkıştırılıyor.              

Daha önceden bazı zararlı yazılımlar için iyi bir çözüm olarak tanıtılan Windows 7 64 bit, Flame’ e karşı da etkili görünüyor.

William MacArthur ve GoDaddy Ağ Kötüye Kullanımı Departmanı’na, hızlı tepkileri ve bu araştırmadaki büyük desteklerinden dolayı teşekkür eden Kaspersky Lab, aynı zamanda araştırma süresince OpenDNS Araştırma Ekibi’yle de başarılı bir işbirliğine imza attı. Kaspersky Lab yetkilileri, bu keşfin hemen ardından birçok ülkenin CERT’leri ile temasa geçerek, onları Flame C&C alan adı bilgisi ve zararlı sunucuların IP adresleri hakkında bilgilendirdi. Konuyla ilgili daha fazla bilgi almak isteyenlerin iletişime geçebileceğiniz mail adresi: "[email protected]". Flame’in C&C altyapısı ve tüm teknik detaylarının tam analizini okumak için: Securelist.com adresini ziyaret edebilirsiniz.