Yaşam Tarzı İnternet 16 OCAK 2013 / 11:49

The Hunt for Red October: Dünya 5 yıllık uykusundan uyanıyor

Dünya 5 yıllık uykusundan uyanıyor

Yeni tespit edilen ve yılardır dolaşımda olduğu anlaşılan "Red October" adlı zararlı yazılım sonunda ortaya çıktı. Peki ama bu ne anlama geliyor, bu kod yıllardır neyin peşindeydi? 



Dünya, bir grup bilgisayar korsanının bundan 5 yıl kadar önce diplomatik, akademik, kamu ve araştırma kurumlarının arşivlerinden bilgi sızdırmak üzere kurgulanmış "Red October" adlı zararlı yazılımın ortaya çıkışıyla sallanıyor.

İlk izleri geçtiğimiz Ekim ayında güvenlik şirketi Kaspersky tarafından tespit edilen ve Red October'in kısaltması olan "Rocra" şeklinde isimlendirilen ilgili kod, görünüşe göre ağırlıklı olarak Excel, Word ve PDF dokümanlarında bulunan açıkları kullanarak sistemler arasında yayılmış. Geçtiğimiz salı günü ortaya çıkan bilgiler ilgili kodun web tabanlı Java açıklarından da faydalandığını gösteriyor.

Kodun kimler tarafından yayıldığı bilinmese de, çalışma prensiplerinin daha önce ilk kez Çin'den çıktığı bilinen bazı teknikleri barındırması bu ülkeye yönelik şüpheleri artırıyor. Kaspersky'ın tahminlerine göre kodun dolaşıma girdiği tarih olan Mayıs 2007'den beri yüzlerce terabayt bilgiyi sızdırmış olması muhtemel. Bunun yanı sıra Kaspersky antivirüs raporları, dünya üzerinde bilgisayar kullanan tüm ülkelerde enfeksiyona bir şekilde rastlandığına işaret ediyor.

5 yıl boyunca gizli kalması mucize

Görünüşe göre Rocra, bulaştığı iş istasyonlarından veri sızdırmanın yanında bu bilgisayarlara bağlanan akıllı telefonlardaki bilgilere de el atabiliyor. Ayrıca Cisco marka ağ cihazlarının konfigürasyon bilgisini okuyabiliyor, hatta çıkarılabilir disklerdeki silinmiş verileri dahi kurtarıp okuyabiliyor. E-posta ekindeki dokümanları okumak, tuş vuruşu kaydetmek, ekran görüntüsü almak, tarayıcı geçmişini kaydetmek yine bu küçük yazılımın yapabildikleri arasında.



Bu kadar çok şeyi yapabilecek ölçekteki bir enfeksiyonun 5 yıl boyunca ortalıkta serbestçe dolaşabilmesi işin en ilginç yönü. Üstelik Rocra'nın zero day adı verilen ve henüz kimsenin varlığını dahi bilmediği sistem açıklarını kullanmak yerine bilinen açıkları kullanması ve buna rağmen gizli kalması hayret verici.

Nasıl çalışıyor?

Rocra, önce içine zararlı kod yerleştirilmiş bir belgeyle sisteme sızıyor. Daha sonra bu kod Rocra'nın kontrol merkeziyle iletişime geçerek daha farklı amaçlara sahip zararlı yazılımların sisteme indirilmesinin yolunu açıyor. Yukarıda bahsedilen beceriler de bu sonradan indirilen yazılımlar eşliğinde geliyor.

Rocra "Acid Crypto" adı verilen ve Avrupa Birliği ve NATO tarafından kabul görmüş standartlarda kriptolu metinlere özel ilgi gösteriyor. Sistemin ana kontrol noktası devre dışı kalırsa, tek bir e-posta yardımıyla kontrol başka bir konuma aktarılabiliyor. Karmaşık proxy katmanları arkasına gizlenen Rocra sunucularının gerçek kaynağını bulmak ise son derece zor.

Korunmak için ne yapmalı?

Rocra'nın tespit edilmesi bundan sonra gelebilecek tehditlerin antivirüs yazılımları tarafından tespit edilebileceğine bir işaret. Yine de bunun yanı sıra kullandığınız yazılımları güncel tutarak bilinen güvenlik açılarına karşı korumak son derece önemli. Ayrıca size gönderilen belgeleri kaynağından emin olmadan açmamak ve şüpheli web sitelerinden uzak durmak bir diğer faydalı önlem.
" Bu sitede yer alan yazılar (içerik) üzerindeki 5846 sayılı Fikir ve Sanat Eserleri Kanunu altında düzenlenen tüm maddi ve manevi haklar eser sahibi olan BThaber'e aittir. Söz konusu içerikler eser sahibinin izni olmadan kopyalanamaz, çoğaltılamaz, işlenemez, değiştirilemez veya başka internet sitelerinde ya da basılı veya görsel yayın yapan diğer mecralarda yayınlanamaz. "
Fetih Mah. Tahralı Sok. Kavakyeli Plaza C Blok No: 7 D: 5 34704 Ataşehir / İstanbul
+90 (216) 291 13 90
E-bülten Listemize Kaydolun