İran’daki bilgisayar ağları, iki yıl önce ortaya çıkan Stuxnet’in ardından, bu sefer Flame (Alev) adındaki yeni ve çok daha etkili bir virüsün saldırısı altında.
Kaspersky Lab, virüsün Stuxnet’ten 20 kat daha karmaşık olduğunu belirtirken, Sudan’dan Batı Şeria’aya kadar birçok bölge kötü amaçlı yazılımın etkisi altında.
Güvenlik uzmanları, Flame’in yanı sıra Skywiper adı verilen virüsün, bugüne kadar karşılaşılan casusluk amaçlı kötü amaçlı yazılımların tümünden daha etkili olduğunu belirtti.
Virüsü ve bilgisayar sistemlerini etkileme şeklini inceleyen analistler, Flame’in arkasında bir devletin olduğu görüşünde.
Budapeşte Üniversitesi’nde bilgisayar virüslerini inceleyen Crysys Laboratuvarı, virüs üzerinde yaptıkları analizler doğrultusunda Flame’in çok büyük bir bütçe ve teknik altyapıya sahip bir devlet kurumu tarafından üretildiğini düşündüklerini belirtti. Analistler, virüsün “siber savaş faaliyetleriyle doğrudan bağlantılı olabileceğini” ifade etti.
YILLAR ÖNCE ÜRETİLMİŞ OLABİLİR
Henüz yeni tespit edilen Flame'in, beş yıl önce geliştirilmiş olabileceği ve Stuxnet gibi bilgisayar ağlarına zarar verme önceliğinden çok bilgi sızdırmaya yönelik olduğu belirtildi. Analistler ayrıca, Flame’in, İran’ın uranyum zenginleştirme programını sabote etmek için kullanılan Stuxnet’ten çok daha karmaşık olduğuna dikkat çekti.
Crysys Lab, “Virüs bulaşan çok sayıda bilgisayarın bulunduğu bir ağdan elde edilen bilgiler hiç bu kadar dikkatlice işlenmemişti... Virüs, bilginin sızdırılabilmesi için her türlü donanımı; klavye, monitör, mikrofon, depolama cihazları, Wi-Fi, Bluetooth, USB ve sistem işlemcilerini kapsıyor” açıklamasında bulundu.
Crysys Lab, konu hakkında yayımladıkları ön röporda, Flame’in bilgisayar ağlarına farkedilmeden sızmasını sağlamak için bugüne kadar görmedikleri kadar gelişmiş yazılım katmanları kullanıldığını ifade etti. 20 MB büyüklüğündeki bir dosya olan Flame, Microsoft Windows işletim sistemi kullanan bilgisayarları etkiliyor, beş şifreleme algoritması kullanıyor, etkilediği bilgisayarlardan bilgi sızdırabiliyor ve casusluk faaliyeti yürütebiliyor.
Raporda ayrıca, Flame virüsünün arkasında bulunan kişilerin, virüsü yönlendirmek için “komuta ve kontrolü” çok sık değişen bir ağ kullandıkları, böylece dinleme cihazlarının mikrofonlarını aktif hale getirmek veya belli hedeflerden tüm belge ile şifreleri çalmak gibi casusluk eylemleri yürütebildikleri ifade edildi.
“STUXNET’TEN 20 KAT DAHA KARMAŞIK”
Rusya merkezli anti-virüs şirketi Kaspersky Lab’in kurucusu Eugene Kaspersky, incelediği virüs hakkında, “Stuxnet’i analiz etmek altı ay sürmüştü. Flame’in 20 kat daha karmaşık bir virüs olduğunu söyleyebilirim” dedi.
İran’ın Bilgisayar Acil Durum Tepki Ekibi (Maher), dün bir açıklama yaparak “Flame’in Stuxnet’e benzediğini, Stuxnet’in de yabancı istihbarat ajanslarının ürünü olduğuna inanılan casusluk amaçlı kötü yazılım Duqu ile bağlantılı olduğunu” belirtti. Birçok güvenlik uzmanı, Stuxnet ve Duqu’nun ABD ve İsrail üretimi olduğuna neredeyse kesin gözüyle bakıyor.
Maher, internet üzerinden yaptığı açıklamada, “Seçilmiş kurumlara Mayıs ayı başında virüsü tespit etmek ve etkisiz hale getirmek için yazılım desteği verildiğini” ifade etti.
Flame, yeniden İran’a odaklanıyor gibi görünse de, etkilediği bölgeler arasında Batı Şeria, Sudan, Suriye, Lübnan, Suudi Arabistan ve Mısır’ın bulunduğu bildirildi.
Crysys Lab ise teknik analizleri sonucu, Flame, Stuxnet ve Duqu arasında bir bağlantı kuramadıklarını belirtti. Adı geçen virüslerin her biri ortak içeriklere sahip olsa da, Flame belli farklılıklara sahip. Bunlardan bir tanesi, virüsün bilgisayar ağlarına otomatik olarak değil, ağda gizli olan bir kullanıcı tarafından kontrol edilerek yayılması.