Güvenlik 27 MART 2012 / 12:00

Yeni virüs ses ve görüntümüzü kaydediyor

Araştırmacılar,bulaştığı makineden web kamerası aracılığı ile ses ve görüntü kaydedebilme ve yerel ağ içerisinde gezinebilme gibi yeteneklere sahip yeni bir botnet keşfetti. 



Sertifika ve dokümanları çalmayı amaçlayan “W32/Georbot” adlı bot aynı zamanda, kendini güncellemek için enteresan bir şekilde Gürcistan devletine ait bir siteyi kullanıyor, bu nedenle ESET araştırmacıları özellikle Gürcistanlı kullanıcıların hedeflediğini düşünüyor. Etkilenmiş makinelerin,yüzde  70’i Gürcistan’da. Onu Amerika, Almanya ve Rusya takip ediyor.

“W32/Georbot” adlı bulaşıcı yazılım “uzak masaüstü yapılandırma” dosyalarını çalması ve bu sayede bilgisayar kullanıcısının herhangi bir açığını kullanmadan sisteme sızma olanağı verildiği gibi, bu zararlı yazılımın geliştirilmesine halen devam ediliyor. Ayrıca W32/Georbot’un binlerce bilgisayara yayılmasıyla oluşan botnet, aynı zamanda bir yedek mekanizmaya sahip. Buna göre sunucularına erişemediği durumlarda Gürcistan Devleti tarafından barındırılan bir sisteme eklenmiş özel bir web sitesine erişiyor.

Konuyla ilgili konuşan ESET Güvenlik Müdürü Pierre-Marc Bureau, insanların aklına hemen Gürcistan Hükümeti'nin işin içinde olduğunu düşünmemelerini gerektiğini belirtirken, Gürcistan Adalet Bakanlığı Veri Dolaşım Ajansı’nın bu durumdan haberdar olduğunu ve kendi soruşturmalarının yanı sıra ESET ile de işbirliği içerisinde olduklarını dile getirdi. Etkilenmiş makinelerin % 70’i Gürcistan’da olduğunu söyleyen Bureau,  Gürcistan’ı Amerika, Almanya ve Rusya takip ettiğini ifade etti. Bureau, Türkiye’de henüz bir tespit olmadığının altını çizdi.

Gizli devlet bilgilerine mi ulaşmaya çalışıyor?

ESET araştırmacıları botnet’in yönetim paneline de erişmeyi başarırken, bu sayede etkilenen makinelerin yerlerini belirledi. Bu konudaki en ilginç gelişme ise yönetim panelinde bulunan ve etkilenen sistemlerde hedeflenen dokümanların içeriğine ait bir liste. Listedeki kelimelerden bazıları; “bakanlık, servis, gizli, ajan, ABD, Rusya, FBI, CIA, silah, FSB, KGB, telefon, numara” şeklinde sıralanıyor.

Bureau, web kamerası aracılığı ile kayıt, ekran görüntüsü, DDOS saldırısı gibi özelliklerin birden fazla  kullanıldığı ifade etti. Komutlarını güncellemek için Gürcistan kaynaklı bir siteyi kullanıyor olması ilk bakışta Gürcistan halkının birincil hedef olduğunu düşündürse de, araştırmacılara göre bu türden bir operasyon devlet destekli yapılıyor olsaydı daha profesyonel ve gizli olması gerekirdi. En akla yakın teori Win32/Georbot’un bir grup sanal suçlu tarafından gizli bilgileri çalarak diğer organizasyonlara satmak amacı ile geliştirilmiş olması.

ESET Araştırmacısı Righard Zwienenberg, sanal suçluların giderek profesyonelleştiğini ifade ederken, W32/Georbot’un “uzak masaüstü yapılandırma” dosyalarını aradığı göz önünde bulundurulursa hedeflenen bilgi oldukça fazla olduğunu söyledi.