Yaşam Tarzı İnternet 16 OCAK 2013 / 11:49

The Hunt for Red October: Dünya 5 yıllık uykusundan uyanıyor

Dünya 5 yıllık uykusundan uyanıyor

Yeni tespit edilen ve yılardır dolaşımda olduğu anlaşılan "Red October" adlı zararlı yazılım sonunda ortaya çıktı. Peki ama bu ne anlama geliyor, bu kod yıllardır neyin peşindeydi? 



Dünya, bir grup bilgisayar korsanının bundan 5 yıl kadar önce diplomatik, akademik, kamu ve araştırma kurumlarının arşivlerinden bilgi sızdırmak üzere kurgulanmış "Red October" adlı zararlı yazılımın ortaya çıkışıyla sallanıyor.

İlk izleri geçtiğimiz Ekim ayında güvenlik şirketi Kaspersky tarafından tespit edilen ve Red October'in kısaltması olan "Rocra" şeklinde isimlendirilen ilgili kod, görünüşe göre ağırlıklı olarak Excel, Word ve PDF dokümanlarında bulunan açıkları kullanarak sistemler arasında yayılmış. Geçtiğimiz salı günü ortaya çıkan bilgiler ilgili kodun web tabanlı Java açıklarından da faydalandığını gösteriyor.

Kodun kimler tarafından yayıldığı bilinmese de, çalışma prensiplerinin daha önce ilk kez Çin'den çıktığı bilinen bazı teknikleri barındırması bu ülkeye yönelik şüpheleri artırıyor. Kaspersky'ın tahminlerine göre kodun dolaşıma girdiği tarih olan Mayıs 2007'den beri yüzlerce terabayt bilgiyi sızdırmış olması muhtemel. Bunun yanı sıra Kaspersky antivirüs raporları, dünya üzerinde bilgisayar kullanan tüm ülkelerde enfeksiyona bir şekilde rastlandığına işaret ediyor.

5 yıl boyunca gizli kalması mucize

Görünüşe göre Rocra, bulaştığı iş istasyonlarından veri sızdırmanın yanında bu bilgisayarlara bağlanan akıllı telefonlardaki bilgilere de el atabiliyor. Ayrıca Cisco marka ağ cihazlarının konfigürasyon bilgisini okuyabiliyor, hatta çıkarılabilir disklerdeki silinmiş verileri dahi kurtarıp okuyabiliyor. E-posta ekindeki dokümanları okumak, tuş vuruşu kaydetmek, ekran görüntüsü almak, tarayıcı geçmişini kaydetmek yine bu küçük yazılımın yapabildikleri arasında.



Bu kadar çok şeyi yapabilecek ölçekteki bir enfeksiyonun 5 yıl boyunca ortalıkta serbestçe dolaşabilmesi işin en ilginç yönü. Üstelik Rocra'nın zero day adı verilen ve henüz kimsenin varlığını dahi bilmediği sistem açıklarını kullanmak yerine bilinen açıkları kullanması ve buna rağmen gizli kalması hayret verici.

Nasıl çalışıyor?

Rocra, önce içine zararlı kod yerleştirilmiş bir belgeyle sisteme sızıyor. Daha sonra bu kod Rocra'nın kontrol merkeziyle iletişime geçerek daha farklı amaçlara sahip zararlı yazılımların sisteme indirilmesinin yolunu açıyor. Yukarıda bahsedilen beceriler de bu sonradan indirilen yazılımlar eşliğinde geliyor.

Rocra "Acid Crypto" adı verilen ve Avrupa Birliği ve NATO tarafından kabul görmüş standartlarda kriptolu metinlere özel ilgi gösteriyor. Sistemin ana kontrol noktası devre dışı kalırsa, tek bir e-posta yardımıyla kontrol başka bir konuma aktarılabiliyor. Karmaşık proxy katmanları arkasına gizlenen Rocra sunucularının gerçek kaynağını bulmak ise son derece zor.

Korunmak için ne yapmalı?

Rocra'nın tespit edilmesi bundan sonra gelebilecek tehditlerin antivirüs yazılımları tarafından tespit edilebileceğine bir işaret. Yine de bunun yanı sıra kullandığınız yazılımları güncel tutarak bilinen güvenlik açılarına karşı korumak son derece önemli. Ayrıca size gönderilen belgeleri kaynağından emin olmadan açmamak ve şüpheli web sitelerinden uzak durmak bir diğer faydalı önlem.