TechnoLogic – Ortadoğu’daki yeni siber silahın adı ‘Gauss’


Ortadoğu’daki yeni siber silahın adı ‘Gauss’

TechnoLogic 11 Ağustos 2012 0
Ortadoğu’daki yeni siber silahın adı ‘Gauss’

Kaspersky Lab, çevrimiçi banka hesaplarını hedefleyen yeni siber tehdit “Gauss”u keşfettiğini açıkladı. Başta Lübnan olmak üzere Ortadoğu’yu hedef alan zararlı yazılım, bugüne kadar 2 bin 500’ün üzerinde bilgisayara bulaşmış.

Güvenli içerik yönetim çözümleri alanındaki lider şirket Kaspersky, Ortadoğu’daki kullanıcıları hedef alan yeni bir siber tehdidi duyurdu. “Gauss” olarak adlandırılan bu yeni tehdidin, enfekte makinelerdeki tarayıcı şifrelerine, çevrimiçi banka hesap bilgilerine, çerezlere ve belirli konfigürasyonlara özel bir odaklanması bulunuyor.

Kaspersky Lab yetkilileri Gauss’un hassas verileri çalmak için tasarlanmış karmaşık ve ülke çapında desteklenen bir siber casusluk aracı olduğunu belirtiyor. Gauss içerisinde bulunan çevrimiçi bankacılık Trojan’ı, bugüne kadar bilinen herhangi bir siber silah içerisinde bulunmamış özel bir karakteristiğe de sahip bulunuyor.

Küresel siber güvenliğin sağlanmasında önemli bir adım

Gauss, Flame’ in keşfini takiben, Uluslararası Telekomünikasyon Birliği (ITU) tarafından başlatılan ve halen devam eden bir girişim süreci içerisinde keşfedildi. Bu çalışmalar, küresel siber barışın genel amacında anahtar niteliği taşıyor ve siber silahların risklerini azaltmayı amaçlıyor.

Kaspersky Lab tarafından sağlanan uzman görüşleriyle ITU, küresel siber güvenliği sağlamlaştırmak adına çalışmalarını sürdürüyor. ITU-IMPACT girişimindeki ortaklarının yanı sıra, hükümetler, özel sektörler, uluslararası kuruluşlar ve sivil toplum gibi ilgili tüm pay sahipleriyle aktif olarak işbirliği yaparak, bu konuda önemli adımlar atmayı sürdürüyor.

Alman matematikçinin adını taşıyor

Yeni zararlı yazılım, Kaspersky Lab uzmanları tarafından Haziran 2012’de keşfedildi. Ana modüle, kimlikleri bilinmeyen yaratıcıları tarafından, Alman matematikçi Johann Carl Friedrich Gauss’un ismi verildi. Diğer parçalar da Joseph-Louis Lagrange ve Kurt Gödel gibi ünlü matematikçilerin adlarını taşıyordu. Araştırma, Gauss’un ilk aktivitelerinin Eylül 2011’e kadar uzandığını tespit etti. Haziran 2012’de, Gauss’un komuta ve kontrol sunucuları işlerliğini yitirdi.

Kaspersky Lab uzmanları Gauss’u, zararlı yazılımın Flame ile paylaştığı ortak özellikleri tanımlayarak keşfetti. Bu ortak özellikler arasında, benzer mimari platformlar, modül yapıları, kod tabanları ve komuta ve kontrol sunucularıyla iletişim yöntemleri bulunuyor.

Gauss ile ilgili bazı gerçekler:

  • Analizler, Gauss’un faaliyetlerine Eylül 2011 tarihinde başladığını gösteriyor.
  • Yazılım, Flame üzerinde yapılan derin analizler ve araştırmalar neticesinde edinilen bilgiler sonucunda, ilk olarak Haziran 2012’de keşfedildi.
  • Keşif, Flame ve Gauss arasındaki güçlü benzerlik ve ilişkiler sayesinde mümkün oldu.
  • Gauss K&K altyapısı, keşfinden kısa bir süre sonra, Haziran 2012’de kapandı. An itibariyle zararlı yazılım, K&K sunucularının aktif hale geçmesini beklerken uyku konumundadır.
  • Mayıs 2012’nin sonlarından bu yana Kaspersky Lab bulut tabanlı güvenlik sistemlerinin kaydettiği bulaşmaların sayısının 2 bin 500’ün üzerine çıkmasıyla Gauss’un toplam kurbanlarının sayısının onbinlere ulaştığı tahmin ediliyor. Bu sayı Stuxnet ile karşılaştırıldığında düşük kalıyor; ancak Flame ve Duqu saldırılarının sayısından ciddi derecede fazla.
  • Gauss, bulaştığı bilgisayarlardan, tarayıcı geçmişi, çerezler, şifreler ve sistem konfigürasyonları gibi detaylı bilgileri çalıyor. Aynı zamanda, çeşitli çevrimiçi bankacılık sistemlerine ve ödeme biçimlerine erişim bilgilerini de çalma yeterliliğine sahip.
  • Gauss’ un analizleri, aralarında Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank ve Credit Libanais’in de bulunduğu pek çok Lübnan bankasından veri çalmak adına tasarlandığını gösteriyor. Ek olarak Gauss, CitiBank ve PayPal kullanıcılarını da hedefliyor.

Yöntem benzer, hedef farklı

Gauss, tasarım açısından Flame’e benzemesine rağmen, iki yazılımın hedef coğrafyaları arasında ciddi farklar bulunuyor. Flame’in bulaştığı bilgisayarların çoğu İran’da kaydedilmişti; oysa Gauss kurbanlarının çoğu Lübnan’ da tespit edilmiş durumda. Bulaşma sayıları da farklılık gösteriyor. Kaspersky Security Network (KSN) tarafından verilen bilgilere göre, Gauss yaklaşık 2,500 bilgisayara bulaşmış durumda. Karşılaştırma olarak Flame’in bulaşma sayısı, yaklaşık 700 bilgisayar civarlarında.

Bulaşmanın yöntemi tam olarak bilinmezken, Gauss’un Flame ve Duqu’dan farklı bir yöntem kullandığı açık. Ancak önceki diğer iki siber casusluk silahına benzer olarak, Gauss’un yayılma mekanizmaları, operasyonun gizliliğine vurgu yapan kontrollü bir biçimde çalışıyor.

Kaspersky Lab Kıdemli Güvenlik Uzmanı Alexander Gostev konuyla ilgili olarak; “Gauss ile Flame, tasarımı ve kod tabanı gibi konularda ciddi benzerlikler taşıyor. Bu da bizlere zararlı yazılımı keşfetme imkanı verdi. Flame ve Duqu’ ya benzer olarak Gauss da, gizliliği vurgulayan tasarımıyla karmaşık bir siber casusluk araç kitidir; ancak amacı Flame ya da Duqu’dan farklıdır. Gauss, banka ve finansal bilgilere özel bir odaklanmayla belirli ülkelerden ve çok sayıda kullanıcıyı, büyük miktarlarda veri çalmak adına hedef almaktadır” yorumunu yaptı.

Gauss Trojan’ı Kaspersky Lab ürünleri tarafından başarıyla tespit edilmekte, bloke edilmekte ve temizlenmektedir ve Trojan-Spy.Win32.Gauss adıyla sınıflandırılmaktadır. Daha fazla bilgi için  http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution ve http://www.securelist.com/en/blog?weblogid=208193767 sitelerini inceleyebilirsiniz.