Ünlü antivirüs yazılımı firması Kaspersky Labs’ın raporlarına göre, veri karmaşıklığı yapısı ile rakiplerinden çok farklı olan bu casus yazılım birden çok komut ve dosyayı aynı anda gönderebiliyor. Casus yazılıma verilen isim ise Red October (Kızıl Ekim)’in kısaltması olan Rocra.
Kaspersky Labs’dan ismini vermek istemeyen bir yetkili, yazılımı ilk olarak Ekim 2012 tarihinde keşfettiklerini belirterek, casus yazılımın kendini koruyabildiğini de açıkladı.
Firma, Amerika, Romanya ve Belarus CERT’le işbirliği içinde Kasım 2012’den itibaren casus yazılımı izleme için çalışmalara başladıklarını bildirdi. 10 Ocak 2013 tarihinde de bu saldırıları incelemek için oluşturulan havuzda 55 binden fazla bağlantı kaydedilerek 250 farklı IP adresi bulduklarını da sözlerine ekledi.
Casus yazılım 35 bilgisayarla en fazla Rusya’da görüldü. Onu takiben de Kazakistan da 21, Azerbaycan’da 15, Belçika’da 15 ve Hindistan’da da 14 tane görüldü. Raporlara göre en çok Doğu Avrupa’da görünse de, Kuzey Amerika ve Batı Avrupa ülkelerinde de zaman zaman tespit edildiği açıklandı.
Casus yazılım en çok, Hükümet, araştırma kurumları, ticari firmalar, nükleer araştırmacıları, petrol ve gaz firmaları ve havacılık gibi sektörleri hedeflediği belirlendi.
Bu arasa Kaspersky Lab, araştırmalar sırasında casus yazılımın binden fazla modülünün bulunduğunun tespit edildiğini, yazılım bilgisayara bulaştıktan sonra bir kez çalıştırıldıktan sonra silindiğini ama bazı modüllerin aktif olması için bir akıllı telefondan sinyal gönderildiğini tespit ettiklerini açıkladı.
Bulunan modüller arasında, dosya kopyalama, usb diskleri okuma, web kameradan resim çekme, klavye girişlerini kaydetme gibi özellikleri var.
“Araştırmalarda saldırganlar tarafından kullanılan 60 kadar internet adresi tespit edildi, bu adresler çoğunlukla Rusya ve Almanya’da görünüyor. Ancak sanal sunucular kullanıldığından dolayı tam yerini bulmak zorlaşıyor.”
Saldırganlar tarafından belgelerin bazıları “acidcsa” ve “acidsca” dosya uzantılarına sahip. Kaspersky’ye göre bu uzantılar NATO ve Avrupa Birliği tarafından kullanılan gizli yazılım 'Acid Cryptofiler’ı ifade etmek için görünüyor.
Peki kim yaptı bunu? Kaspersky’ye göre Rus yapımı gibi görünen yazılımın aslında Çinli hackerlar tarafından yapıldı.
Çin ve Rusya bağlantılarına rağmen, bunun bir ulus-devlet saldırısı olmadığı savunuldu.
Fakat araştırmacılara göre “Saldırganlar tarafından çalınan belgeler üst düzey belgelerdir ve devletler tarafından kullanılabilecek jeopolitik verileri içermektedir. Bu tür bilgilere sahip olanlar en fazla parayı verene bunları satarlar.”
Kaynak: Diyarbakır Söz