Siber casusluk yazılımları Ortadoğu'yu hedefliyor

Bilgisayarlara bulaşan Alev adlı siber casusluk kodu, daha önceki benzer kötü amaçlı yazılımlara kıyasla çok daha karmaşık ve çok amaçlı. Bu kötü amaçlı yazılımın Ortadoğu ülkelerindeki bilgisayarlara, özellikle İran'daki sistemlere sızmış.

İran ve civarındaki ülkelerdeki bilgisayarlı sistemleri etkileyen, devasa ve oldukça karmaşık kötü-amaçlı kodun, devlet güdümlü ve iyi koordine edilmiş, siber casusuluk operasyonunun parçası olduğu düşünülüyor.

Kötü-amaçlı kodlar, solucanlar, virüsler, truva atları, rootkitler, arka kapıları içeriyor. Bunlar bilgisayarın normal çalışmasını bozan, sistemlerden hassas verileri toplayan, bilgisayar sisteminde yetki kazanan yazılımlar.
Bilgisayarlarda çalışan işletim sistemleri ve yazılımlar gün geçtikçe karmaşıklaştığı, dış dünya ile devamlı olarak etkileşimde bulunduğu için kötü-amaçlı kodların sisteme sızması için daha fazla kanal açılmış oluyor.
Bilgisayarlardaki yazılımların kapalı da olduğu durumlarda kimi kanalların da bilinçli olarak bırakıldığı da düşünülüyor. Sistemlere kötü amaçlı yazılımın bulaşmasının farkedilmesi ancak belli yan etkilerin ortaya çıkması ile mümkün oluyor.

'Alev' adı verilen bu kötü-amaçlı kod, Rusya'da bulunan Kaspersky Lab tarafından keşfedilmiş. İran, Lübnan, Suriye, Sudan ve bazı diğer Ortadoğu ülkeleri ile Kuzey Afrika ülkelerinde iki senedir hedeflenen sistemlere bulaşan bir casusluk aracı.

Üstelik 'Alev' boyut olarak, 2009 ve 2010'da İran'ın nükleer programını hedef alan Stuxnet solucanının yanında büyük bir yılan gibi kalıyor. Kaspersky Lab'ı, Alev'in karmaşıklığı, bulaştığı sistemlerin coğrafi yelpazesi ve kodun davranışı göz önüne alındığında, arkasında ortalama bireysel siber suçluların çabası değil, devlet güdümünde örgütlü bir çabanın olduğu sonucuna varmış. Kaspersky Lab, Stuxnet ve Alev'in farklı programcılar tarafından kodlandığı sonucuna da varmış ancak yine de araştırmacılar Stuxnet ve DuQu kötü-amaçlı kodları geliştirten devletin Alev'i de paralel proje olarak ortaya çıkartmış olabileceğini düşünüyorlar.

Alev bilgisayarlara ne yapıyor?
Alev'in Lab'daki analizi sonucunda kodun girdiği bilgisayarda casusluk faaliyeti yaptığı, veri çaldığı, kayıt yaptığı ve tuş hareketlerini kaydettiğini ortaya koyulmuş. Alev bilgisayarda saldırganların buradan sızarak yeni işlevsellikler de kazandıracak şekilde bir 'arka kapı' bıraktığı görülmüş.

Tüm modülleri yüklendiğininde 20 Mega Byte büyüklüğüne ulaşan Alev, kütüphane adı verilen destek programları, SQLite3 tipli hafif siklet veritabanları, çeşitli seviyelerde şifreleme ve saldırganların kullanabileceği 20 ekleme program barındırıyor.

Stuxnet solucanı 2010 yılında İran'daki nükleer santral sistemlerini hedeflemişti. Stuxnet, nükleer santrfüjleri kontrolden çıkartmak üzere özel olarak programlanmıştı. Daha sonra yapılan analizlerde Stuxnet'in arkasında profesyonel bir şekilde örgütlü devlet çabası olduğu ortaya çıkmış ve özellikle İsrail üzerinde durulmuştu. Stuxnet de Siemens devrelerinde çalışan, Windows işletim sistemlerinden birisi olan WindowsCE aracılığı ile bulaşmıştı.

Kaspersky Lab Alev'i “şimdiye kadar görülen en karmaşık tehditlerden birisi” olarak tanımlıyor. 2010 Mart'ından beri işlevsel olan Alev'in iki sene kadar fark edilmediği, ancak 2007'den beri işlevsel olduğuna dair de kimi ibareler olduğu belirtildi. Stuxnet ve DuQu'nun da 2007'de yaratıldığı düşünülüyor.

Lab'daki Baş Güvenlik Uzmanı Alexander Gostev “Stuxnet'i analiz etmek 1,5 senemizi aldı. Alev, 20 kere daha karmaşık. Tamamını anlamamız 10 sene alır” dedi.

Alev'in varlığı nasıl anlaşıldı?
İki hafta kadar önce BM'nin Uluslararası Telekomunikasyon Birliği'nin Lab'a İran Petrol Bakanlığı'na bağlı bilgisayarlar hakkındaki Nisan ayı raporlarını inceletmesiyle ortaya çıkan bu kötü-amaçlı yazılımın, İran'ın sistemlerinden bilgi çaldığı ve sistemlerdeki bilgileri sildiği ortaya çıkmış.

Bilgisayarlardan şüpheli dosyalar otomatik olarak dışarı gönderilirken, bir dosya ve dosyanın MD5 özütünün sadece İran ve Ortadoğu ülkelerinde yer aldığını farketmişler. Araştırmacılar daha da derinlere indiklerinde, bölgedeki makinaları etkileyen diğer kod parçaları da bulmuşlar ve bunların hepsini Alev adı altında kötü-amaçlı yazılım bütününün parçaları olduğu sonucuna varmışlar.

Alev'in 'işlevleri'
Alev'in modüllerinden bir tanesi bugün her bilgisayarda bulunan iç mikrofonu açıyor ve bilgisyarın yanında yapılan konuşmaları kaydediyor. Bu konuşmalar İnternet üzerinden sesli telefonlaşma programı olan ve dünyada çok yaygın kullanılan Skype üzerinden yapılan konuşmalarını da içeriyor.

Alev'in bir başka modülü de eğer bilgisayarda Bluetooth özelliği varsa bunu da aktive ederek bilgisayarın civarındaki diğer Bluetooth özellikli cihazların adlarını ve telefon numaralarını topluyor.

Bir başka modül ise bilgisayardan ara ara ekran görüntüleri alıyor, özellikle çetleşme ve eposta iletişimi aktif iken. Bu ekran görüntüleri de saldırganın uzaktan açtığı şifreli iletişim protokolü olan SSL kanalı üzerinden dışarı gönderiliyor.

Kötü-amaçlı yazılımın bir de 'sniffer' adlı verilen ve bilgisayarın yerel ağdaki veri trafiğini inceleyerek, kullanıcı adı ve parolalarının özütlerini topluyor. Saldırganlar bu kullanıcı adları ve parolaları yüksek yetkili hesaplara dışarıdan ulaşabilmek ve böylelikle ağa daha etkin bir şekilde sızabilmek için kullanıyorlar.

Nasıl bulaşıyor?
Alev bir kötü-amaçlı yazılım olarak devasa büyüklükte olduğu için siseme parça parça yükleniyor. 6 MB'lık ilk parçası kendini sistemde açıyor, modüllerini deşifreliyor ve bilgisyaarın sabit diskinde çeşitli yerlere bunları yerleştiriyor. Kendisini yerleştirdikten sonra Alev, İnternet üzerinde belli 80 kadar farklı yerden bir tanesine veri aktarmak ve oralardan komut beklemek üzere bağlanıyor. Bu seksen yerden 5 tanesi Alev'in içinde yazılı ancak bir de güncellenebilen liste var ve böylelikle saldırganlar bu 5 yer çeşitli nedenlerle pasifleştiği zaman dışarıdan komutlarla yeni adresler ekleyebiliyorlar.

Alev, dışarından komut beklerken boş durmuyor ve e-posta gibi yüksek iletişim özelliği olan bir uygulama çalışıyor olduğu zaman, 15 saniyede bir ekran görüntüsü alıyor, kaydediyor.

Tahmin edilebileceği gibi, Alev, üzerinde kapalı işletim sisteminin ve yazılımların koştuğu Windows 7 yüklü bilgisayarlara bulaşıyorlar. Bu Windows 7'nin paketten çıktığı ve tam olarak yamanmış halinde zayıflık olduğu düşünülüyor ancak, kodu da kapalı olduğu için araştırmacılar bu açıklığı henüz bulamadı.

Alev'in yayılma tarihçesi
23 Ağustos 2010'da Lübnan'da bir müşterinin bilgisayarında fark edilen dosya Alev'e dair ilk bulguların ortaya çıkmasını sağlamış. İnternet üzerinde yapılan bir arama ile aynı dosya adının İran'da 1 Mart 2010'da da görüldüğünüortaya çıkartmış. Alev'e dair özgün dosya adları arandığında 2010'dan çok daha öncelerden beri o coğrafyalarda var olmuş olabileceği tahmin ediliyor. Alev'in bir birimi, 5 Aralık 2007'de Avrupa'da bir bilgisayarda ve 28 Nisan 2008'de Dubai'de bir bilgisayarda ortaya çıkmış.

Kaspersky Alev'in 1000 kadar makineye bulaştığını tahmin ediyor. Alev'in bulaştığı sistemler incelendiğinde, enerji endüstrisi, kontrol sistemleri, vb. spesifik bir alanın seçilmediği görülüyor. Alev daha ziyade çok amaçlı kullanıma müsait bir kötü-yazılım ve şimdiye kadar bireyler, özel şirketler, eğitim kurumları ve hükümet örgütlerinde bilgisayarlara bulaşmış.

Alev'i incelemeye başlayan Symantec Alev'in bulaştığı müşterilerinin çoğunun Batı Şeria, Macaristan, İran ve Lübnan'dan olduğunu belirtmiş. Ancak Avusturya, Rusya, Hong Kong ve BAE'deki müşterilerinin makinalarından da Alev'in bulaştığına dair raporlamalar gelmiş.

Alev nasıl yokediliyor?
Alev'in kendi kendini sonlandırması ancak uzaktan bir 'sonlandırma' modülü gönderilmesiyle mümkün oluyor. Bu da gerekli durumlarda yapılıyor. Browse32 (Tarama 32) adlı modül, sistemde Alev'a dair tüm izleri arayarak siliyor ve geride kalan kırıntıları da süpürüyor. Dolayısıyla browse32 çalıştığı anda sistemde Alev'a dair tek bir iz kalmamış oluyor.

(soL - Dış Haberler)