Siber korsanların süper işbirliği

YAYINLAMA
GÜNCELLEME





İSTANBUL - Mayıs ayında keşfedilen siber-silah Flame ile endüstriyel tesisleri hedefleyen ilk siber silah olan Stuxnet ve Duqu'nun yaratıcılarının en az bir kez birlikte hareket etmiş oldukları Kaspersky Lab tarafından ispatlandı.

Güvenli içerik ve tehdit yönetimi çözümleri lideri Kaspersky Lab, Mayıs ayında şu ana kadarki en karmaşık siber-silah olarak adlandırılan "Flame"i keşfettiğini duyurmuştu. Kayspersky Lab, keşif aşamasında Flame ile yaklaşık iki yıl önce ortaya çıkan ve endüstriyel tesisleri hedefleyen ilk siber silah olan Stuxnet ve Duqu arasında alakalı güçlü bir kanıta rastlamamıştı. Hatta Flame ve Duqu/Stuxnet'in gelişimlerindeki yaklaşımların oldukça farklı olması, bu projelerin farklı kişiler tarafından oluşturulduğu görüşünü güçlendiriyordu.
Ancak, sonrasında Kaspersky Lab uzmanları tarafından gerçekleştirilen detaylı araştırma, projeyi gerçekleştiren takımların başlangıç aşamasında bir kerelik de olsa işbirliği içine girdiklerini ortaya çıkardı.

İşte Kaspersky Lab'in bu sonuca ulaşmak için kullandığı bulgular:
Kaspersky Lab, "Resource 207" adıyla bilinen 2009 başındaki Stuxnet versiyon modülünün aslında Flame eklentisi olduğunu keşfetti.

Bu da Stuxnet worm'un 2009'un başında yaratıldığını, Flame platformu'nun çoktan varolduğunu ve 2009 yılında Flame'in en az bir modülünün kaynak kodunun Stuxnet'te kullanıldığı anlamına geliyor.

Modül, USB sürücüleri yoluyla virüs yayması için kullanılıyordu. USB sürücüsü virüs mekanizmasının Flame ve Stuxnet'te aynı olduğu tespit edildi.

Stuxnet içerisindeki Flame modülü, o zaman bilinmeyen ve muhtemelen MS09-025 kodlu, kullanıcı izinlerinin yükseltilmesini sağlayan bir açığı kullandı.

Ardından, 2010 yılında, Flame modülü Stuxnet' ten kaldırıldı ve farklı açıkları kullanmayı mümkün kılan birkaç farklı modül getirildi.

2010 yılından başlayarak, iki geliştirici ekip, yeni "sıfırıncı gün" açıkları ile ilgili bilgilerini paylaşma bazında şüphelenilen bir işbirliği dışında bağımsız çalıştılar.

Stuxnet'in tarihi yeniden yazıldı

Stuxnet, endüstriyel tesisleri hedefleyen ilk siber silahtı. Stuxnet'in aynı zamanda dünya genelinde sıradan PC'leri de etkileyerek Haziran 2010'da keşfedilmiş olmasına rağmen, zararlı yazılımın bundan 1 yıl önce yaratıldığı düşünülüyor. Duqu siber silahların sonraki örneği ise, Eylül 2011'de bulundu.

Stuxnet'in aksine Duqu Trojan'ının ana amacı, sisteme bir arka kapı görevi görmek ve siber-casusluk yoluyla kişisel bilgileri çalmaktı.

Duqu'nun analizi sırasında, Stuxnet ile arasında ciddi benzerlikler keşfedildi. Her iki siber silahın, aynı saldırı platformu olarak bilinen "Tilded Platformu" kullanılarak yaratıldığı ortaya konuldu. İsim, zararlı yazılımın geliştiricilerinin "~d*.*", yani "Tilde-d" şeklinde kullanma tercihlerinden ileri gelmekteydi.

Mayıs 2012 tarihinde, Uluslararası İletişim Birliği - International Communications Union (ITU) tarafından başlatılan ve Kaspersky Lab tarafından gerçekleştirilen araştırmayla keşfedilen Flame zararlı yazılımı ise, ilk bakışta bu ikisinden tümüyle farklıydı. Zararlı yazılım boyutu, LUA dilinin kullanımı ve farklı fonksiyonelliği gibi bazı özellikleri Flame'in Duqu ya da Stuxnet'in yaratıcılarına bağlı olmadığını düşündürdü. Ancak, yeni ortaya çıkan gerçekler Stuxnet'in tarihini tamamıyla yeniden yazdı ve şüphesiz olarak, "Tilded" platformunun da Flame ile ilişkili olduğu sonucunu verdi.

En az bir kez birlikte hareket ettiler

Yaklaşık olarak Haziran 2009' da yaratılan Stuxnet' in en eski sürümü, "Kaynak: 207" adında özel bir modül içeriyor. Takip eden 2010 sürümünde bu modül Stuxnet'ten tümüyle çıkarılmıştı "Kaynak 207" modülü, kriptolanmış bir DLL dosyasıydı ve "atmpsvcn.ocx" isminde, 351.768 byte'lık bir uygulama dosyası içermekteydi. Bu özel dosya, şu anda Kaspersky Lab araştırmalarında da görüldüğü üzere, Flame'de kullanılan kod ile birçok ortak özellik taşıyor. Çarpıcı benzerlikler listesinde, ortak kullanılan ayırt edici objeler, satırların şifresini kırmak için kullanılan algoritma ve dosya isimlendirmesine benzer yaklaşım var.

Dahası, kodun birçok bölgesi, sırasıyla Stuxnet ve Flame modüllerinde benzer ya da aynı gibi görünüyor. Bu durum, Flame ve Duqu/Stuxnet ekipleri arasında gerçekleşen takasın, kaynak kodu bazında gerçekleştiğinin (yani ikili formda gerçekleşmediğinin) sonucuna varmamızı sağlıyor. Stuxnet "Kaynak 207" modülünün temel fonksiyonu, çıkarılabilir USB sürücüleri kullanarak enfeksiyonu bir makineden diğerine yaymak ve Windows kernel'i içerisindeki açıklardan faydalanarak sistem içinde hakların yükseltilmesini sağlamaktı. Zararlı yazılımın USB sürücüler ile dağıtımından sorumlu olan kod, Flame'de kullanılanla birebir aynı görünüyor.

Kaspersky Lab Ana Güvenlik Uzmanı Alexander Gostev, elde dilen bu son bulgularla ilgili olarak, "Yeni keşfedilen gerçeklere karşın, Flame ve Tilded'ın tamamen farklı platformlar olup, birçok siber silahın yaratılmasında kullanıldığından eminiz. Her birinin farklı mimarileri mevcut ve sistemlere girmek ve amaçlarını gerçekleştirmek için farklı yöntemleri var. Projeler kesinlikle birbirinden ayrı ve bağımsızdı. Ancak, geliştirmenin ilk zamanlarında en az bir modülün kaynak kodunun paylaşılmasının yolunun açığa çıkaran yeni bulgular, ekiplerin en az bir defa birlikte hareket ettiğini gösteriyor. Bu bulgular, Stuxnet/Duqu ve Flame siber silahlarının bağlı olduğu hakkında çok güçlü bir kanıt" yorumunda bulundu.

Araştırma hakkında daha detaylı bilgi Securelist.com adresinde bulunabilir. Flame zararlı yazılımı hakkında daha fazlasını öğrenmek için, Kaspersky Lab güvenlik araştırmacılarınca yazılan Flame SSS kısmına başvurabilirsiniz.