Araştırmacılar, 'Alev' olarak adlandırılan Stuxnet benzeri Cyberespionage Kötü Amaçlı Yazılımları Tanımladı

Orta Doğu'daki hedeflere yönelik siber casusluk saldırılarında ağırlıklı olarak kullanılan yeni ve oldukça karmaşık bir yazılım tehdidi tespit edildi ve birkaç güvenlik şirketi ve kuruluşundan araştırmacılar tarafından analiz edildi.

İran Bilgisayar Acil Durum Müdahale Ekibine (MAHER) göre, yeni kötü amaçlı yazılımın adı Flamer ve İran'daki son veri kaybı olaylarından sorumlu olabilir. Ayrıca, kötü amaçlı yazılımın Stuxnet ve Duqu siberkespiyonaj tehditleriyle ilgili olduğuna inanmak için de sebepler var, örgüt Pazartesi günü belirtti.

Virüsten koruma firması Kaspersky Lab'in kötü amaçlı yazılım araştırmacıları da kötü amaçlı yazılımları analiz ettiler ve Stuxnet ve Coğrafi yayılım ve hedefleme açısından Duqu, farklı özelliklere sahiptir ve birçok açıdan bu tehditlerden daha karmaşıktır.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Alev Kaspersky araştırmacılarının dediği gibi, birçok bireysel modüle sahip çok büyük bir saldırı araç takımıdır. Çoğu veri hırsızlığı ve siber casusluk ile ilgili çeşitli kötü niyetli eylemler gerçekleştirebilir.

Diğer şeylerin yanı sıra, konuşmaları kaydetmek, kullanımda belirli uygulamaların ekran görüntülerini almak, tuş vuruşlarını kaydetmek için bir bilgisayarın mikrofonunu kullanabilir. ağ trafiğini yakalıyor ve yakındaki Bluetooth cihazlarıyla iletişim kurabiliyor.

Yavaşça Sessizce Yayılıyor

Araç setinin ilk versiyonlarından biri 2010 yılında yaratıldı ve daha sonra işlevselliği daha sonra modüler mimariden yararlanılarak genişletildi, dedi. Kaspersky Lab.

Flame, Duqu ve Stuxnet’den çok daha büyüktür. Bu sayede 500KB’de büyüklükte güvenlik uzmanları tarafından büyük sayılmıştır. Tüm Alev bileşenlerinin toplamı 20MB'a kadar çıktı ve tek bir dosyada sadece 6MB'nin üzerinde bir ölçü, Kamluk şöyle dedi:

Tehdidin bir başka ilginç yönü de Alev'in bazı bölümlerinin LUA dilinde yazılmış bir programlama dilidir. Kötü amaçlı yazılım geliştirme için nadirdir. LUA, bilgisayar oyun endüstrisinde sıkça kullanılır, ancak Kaspersky Lab, Flame'den önce herhangi bir kötü amaçlı yazılım örneği görmemişti, dedi Kamluk.

Flame, taşınabilir USB cihazlarına ve diğer Strixnet tarafından da desteklenen bir Microsoft Windows yazıcı güvenlik açığı kullanarak yararlanma.

Kaspersky araştırmacıları, bu kötü amaçlı yazılım tarafından bilinmeyen (0 günlük) bir güvenlik açığına ilişkin herhangi bir kanıt bulamadılar, ancak Flame'nin virüs bulaşmış olduğu biliniyor. Tamamen yamulmuş bir Windows 7 bilgisayarı, bu yüzden tamamen olasılığını dışlamadılar, dedi Kamluk.

Antivirüs programları tarafından korunan bilgisayarlara bulaştığında, Flame bazı eylemleri gerçekleştirmekten kaçınıyor ya da proaktif bir tespiti tetikleyebilecek zararlı kodları çalıştırıyor. güvenlik uygulamaları. Bu kötü amaçlı yazılımın radarın altında uzun süredir devam etmesinin nedenlerinden biri, Kamluk şöyle dedi:

Enfekte Edilmiş Enfeksiyonlar

Kaspersky Lab, dünya çapındaki kötü amaçlı yazılım algılayıcılarından gelen verileri kontrol ederek, şimdiki ve geçmiş Alevleri tanımlamayı başardı. Orta Doğu ve Afrika'daki enfeksiyonlar, ağırlıklı olarak İran, İsrail, Sudan, Suriye, Lübnan, Suudi Arabistan ve Mısır gibi ülkelerde var.

Bununla birlikte, antivirüs satıcısı Symantec, Macaristan, Avusturya, Rusya, Hong Kong ve diğer ülkelerdeki enfeksiyonları da tanımladı. Birleşik Arap Emirlikleri. Şirket, bu enfeksiyon raporlarının gezginler tarafından geçici olarak yurt dışına çıkarılan dizüstü bilgisayarlardan kaynaklanma olasılığını reddetmiyor.

Flame yazarlarının ne tür bir bilgi verdiklerini söylemek zordur. çalın ve komutları kontrol et ve sunuculara geri gönder. Kamluk, kötü amaçlı yazılımın modüllerinden ve işlevselliğinden hangilerinin, her bir hedefe yönelik saldırganların büyük bir ihtimalle her bir vaka için ayrı ayrı ele alınacağını söyledi.

Hedeflenen kuruluşlar da sektöre özgü bir model izlemiyor gibi görünmektedir. Kötü amaçlı yazılımlar, devlet kurumlarına, eğitim kurumlarına ve ticari şirketlere ait bilgisayarları ve özel şahısların sahip olduğu bilgisayarları enfekte etti.

Duqu ve Stuxnet gibi, Flame'yi kimin yarattığı belli değil. Ancak kötü amaçlı yazılımın karmaşıklığı ve buna oluşturulan veya bir ulus devlet tarafından sponsor olduğuna inanmak güvenlik araştırmacıları açmıştır gibi bir şey inşa etmek için gerekli kaynakların miktarı.

Kaspersky'nin araştırmacılar kötü amaçlı yazılım kravat herhangi bir kanıt bulamadık belirli ülke veya bölge. Ancak, kod içinde İngilizce yazılmış bazı metin var, Kamluk söyledi.

"kod Sınav da kötü amaçlı yazılım geliştiricilerin doğal İngilizce konuşan kümesi tarafından geliştirilen inanmak Symantec açar," Bir Symantec sözcüsü e-posta yoluyla söyledi. "Başka gözlemler malware kökeni bulma konusunda yardımcı olabilecek yapılmıştır." Önemli bir rol oynamıştır Teknoloji ve Ekonomi Budapeşte Üniversitesi Kriptografi ve Sistem Güvenliği Laboratuarı (CrySyS), den

Araştırmacılar keşif ve Duqu analizi, ayrıca çağırdıkları Alev kötü amaçlı yazılım, hakkında bir rapor yayınladı "sKyWIper."

"teknik analiz sonuçları sKyWIper anlamlı bir ulus devletin bir devlet kurumu tarafından geliştirilen hipotezleri desteklemektedir bütçe ve çaba, ve siber savaş faaliyetleri ile ilgili olabilir, "CrySyS araştırmacılar raporlarında söyledi. "sKyWIper kesinlikle bizim uygulama sırasında karşılaştığımız en sofistike kötü amaçlı yazılımdır; tartışmasız, şimdiye kadar bulunan en karmaşık kötü amaçlı yazılımdır."