‘Hırsız Virüs’ Alarmı!

**Prof. Dr. Sinsi** · 10-07-2012

Siber casus yazılım Flame, Stuxnet ve Duqu virüslerini ortaya çıkartan Rusya’daki antivirüs laboratuarı Kaspersky, şimdi de bankalardan kimlik bilgisi ve para çalmaya başlayan süper hırsız “Gauss” virüsü alarmı verdi

Başta Lübnan olmak üzere Ortadoğu’yu hedef alan zararlı yazılım, bugüne kadar 2 bin 500’ün üzerinde bilgisayara bulaşmış

“Gauss” olarak adlandırılan bu yeni tehdidin, enfekte makinelerdeki tarayıcı şifrelerine, çevrimiçi banka hesap bilgilerine, çerezlere ve belirli konfigürasyonlara özel bir odaklanması bulunuyor

Kaspersky Lab yetkilileri Gauss’un hassas verileri çalmak için tasarlanmış karmaşık ve ülke çapında desteklenen bir siber casusluk aracı olduğunu belirtiyor

Gauss içerisinde bulunan çevrimiçi bankacılık Trojan’ı, bugüne kadar bilinen herhangi bir siber silah içerisinde bulunmamış özel bir karakteristiğe de sahip bulunuyor

Küresel siber güvenliğin sağlanmasında önemli bir adım
Gauss, Flame’ in keşfini takiben,Uluslararası Telekomünikasyon Birliği (ITU) tarafından başlatılan ve halen devam eden bir girişim süreci içerisinde keşfedildi

Bu çalışmalar, küresel siber barışın genel amacında anahtar niteliği taşıyor ve siber silahların risklerini azaltmayı amaçlıyor

Kaspersky Lab tarafından sağlanan uzman görüşleriyle ITU, küresel siber güvenliği sağlamlaştırmak adına çalışmalarını sürdürüyor

ITU-IMPACT girişimindeki ortaklarının yanı sıra, hükümetler, özel sektörler, uluslararası kuruluşlar ve sivil toplum gibi ilgili tüm pay sahipleriyle aktif olarak işbirliği yaparak, bu konuda önemli adımlar atmayı sürdürüyor

Alman matematikçinin adını taşıyor
Yeni zararlı yazılım, Kaspersky Lab uzmanları tarafından Haziran 2012’de keşfedildi

Ana modüle, kimlikleri bilinmeyen yaratıcıları tarafından, Alman matematikçi Johann Carl FriedrichGauss’un ismi verildi

Diğer parçalar da Joseph-Louis Lagrange ve Kurt Gödel gibi ünlü matematikçilerin adlarını taşıyordu

Araştırma, Gauss’unilk aktivitelerinin Eylül 2011’e kadar uzandığını tespit etti

Haziran 2012’de, Gauss’un komuta ve kontrol sunucuları işlerliğini yitirdi

Kaspersky Lab uzmanları Gauss’u, zararlı yazılımın Flame ile paylaştığı ortak özellikleri tanımlayarak keşfetti

Bu ortak özellikler arasında, benzer mimari platformlar, modül yapıları, kod tabanları ve komuta ve kontrol sunucularıyla iletişim yöntemleri bulunuyor

Gauss ile ilgili bazı gerçekler:
● Analizler, Gauss’unfaaliyetlerine Eylül 2011 tarihinde başladığını gösteriyor

● Yazılım, Flame üzerinde yapılan derin analizler ve araştırmalar neticesinde edinilen bilgiler sonucunda, ilk olarak Haziran 2012’de keşfedildi

● Keşif, Flame ve Gauss arasındaki güçlü benzerlik ve ilişkiler sayesinde mümkün oldu

● Gauss K&K altyapısı, keşfinden kısa bir süre sonra, Haziran 2012’de kapandı

An itibariyle zararlı yazılım, K&K sunucularının aktif hale geçmesini beklerken uyku konumundadır

● Mayıs 2012’nin sonlarından bu yana Kaspersky Lab bulut tabanlı güvenlik sistemlerinin kaydettiği bulaşmaların sayısının 2 bin 500’ün üzerine çıkmasıyla Gauss’un toplam kurbanlarının sayısının onbinlere ulaştığı tahmin ediliyor

Bu sayı Stuxnet ile karşılaştırıldığında düşük kalıyor; ancak Flame ve Duqu saldırılarının sayısından ciddi derecede fazla

● Gauss, bulaştığı bilgisayarlardan, tarayıcı geçmişi, çerezler, şifreler ve sistem konfigürasyonları gibi detaylı bilgileri çalıyor

Aynı zamanda, çeşitli çevrimiçi bankacılık sistemlerine ve ödeme biçimlerine erişim bilgilerini de çalma yeterliliğine sahip

● Gauss’ un analizleri, aralarında Bank of Beirut, EBLF, BlomBank, ByblosBank,FransaBank ve CreditLibanais’in de bulunduğu pek çok Lübnan bankasından veri çalmak adına tasarlandığını gösteriyor

Ek olarak Gauss, CitiBank ve PayPal kullanıcılarını da hedefliyor

Yöntem benzer, hedef farklı
Gauss, tasarım açısından Flame’e benzemesine rağmen, iki yazılımın hedef coğrafyaları arasında ciddi farklar bulunuyor

Flame’in bulaştığı bilgisayarların çoğu İran’da kaydedilmişti; oysa Gauss kurbanlarının çoğu Lübnan’ da tespit edilmiş durumda

Bulaşma sayıları da farklılık gösteriyor

Kaspersky Security Network (KSN) tarafından verilen bilgilere göre, Gauss yaklaşık 2,500 bilgisayara bulaşmış durumda

Karşılaştırma olarak Flame’in bulaşma sayısı, yaklaşık 700 bilgisayar civarlarında

Bulaşmanın yöntemi tam olarak bilinmezken, Gauss’unFlame ve Duqu’dan farklı bir yöntem kullandığı açık

Ancak önceki diğer iki siber casusluk silahına benzer olarak, Gauss’un yayılma mekanizmaları, operasyonun gizliliğine vurgu yapan kontrollü bir biçimde çalışıyor

Kaspersky Lab Kıdemli Güvenlik Uzmanı Alexander Gostev konuyla ilgili olarak; “Gauss ile Flame, tasarımı ve kod tabanı gibi konularda ciddi benzerlikler taşıyor

Bu da bizlere zararlı yazılımı keşfetme imkanı verdi

Flame ve Duqu’ ya benzer olarak Gauss da, gizliliği vurgulayan tasarımıyla karmaşık bir siber casusluk araç kitidir; ancak amacı Flame ya da Duqu’dan farklıdır

Gauss, banka ve finansal bilgilere özel bir odaklanmayla belirli ülkelerden ve çok sayıda kullanıcıyı, büyük miktarlarda veri çalmak adına hedef almaktadır” yorumunu yaptı

10-07-2012	#1
Prof. Dr. Sinsi	‘Hırsız Virüs’ Alarmı! Siber casus yazılım Flame, Stuxnet ve Duqu virüslerini ortaya çıkartan Rusya’daki antivirüs laboratuarı Kaspersky, şimdi de bankalardan kimlik bilgisi ve para çalmaya başlayan süper hırsız “Gauss” virüsü alarmı verdi Başta Lübnan olmak üzere Ortadoğu’yu hedef alan zararlı yazılım, bugüne kadar 2 bin 500’ün üzerinde bilgisayara bulaşmış “Gauss” olarak adlandırılan bu yeni tehdidin, enfekte makinelerdeki tarayıcı şifrelerine, çevrimiçi banka hesap bilgilerine, çerezlere ve belirli konfigürasyonlara özel bir odaklanması bulunuyor Kaspersky Lab yetkilileri Gauss’un hassas verileri çalmak için tasarlanmış karmaşık ve ülke çapında desteklenen bir siber casusluk aracı olduğunu belirtiyor Gauss içerisinde bulunan çevrimiçi bankacılık Trojan’ı, bugüne kadar bilinen herhangi bir siber silah içerisinde bulunmamış özel bir karakteristiğe de sahip bulunuyor Küresel siber güvenliğin sağlanmasında önemli bir adım Gauss, Flame’ in keşfini takiben,Uluslararası Telekomünikasyon Birliği (ITU) tarafından başlatılan ve halen devam eden bir girişim süreci içerisinde keşfedildi Bu çalışmalar, küresel siber barışın genel amacında anahtar niteliği taşıyor ve siber silahların risklerini azaltmayı amaçlıyor Kaspersky Lab tarafından sağlanan uzman görüşleriyle ITU, küresel siber güvenliği sağlamlaştırmak adına çalışmalarını sürdürüyor ITU-IMPACT girişimindeki ortaklarının yanı sıra, hükümetler, özel sektörler, uluslararası kuruluşlar ve sivil toplum gibi ilgili tüm pay sahipleriyle aktif olarak işbirliği yaparak, bu konuda önemli adımlar atmayı sürdürüyor Alman matematikçinin adını taşıyor Yeni zararlı yazılım, Kaspersky Lab uzmanları tarafından Haziran 2012’de keşfedildi Ana modüle, kimlikleri bilinmeyen yaratıcıları tarafından, Alman matematikçi Johann Carl FriedrichGauss’un ismi verildi Diğer parçalar da Joseph-Louis Lagrange ve Kurt Gödel gibi ünlü matematikçilerin adlarını taşıyordu Araştırma, Gauss’unilk aktivitelerinin Eylül 2011’e kadar uzandığını tespit etti Haziran 2012’de, Gauss’un komuta ve kontrol sunucuları işlerliğini yitirdi Kaspersky Lab uzmanları Gauss’u, zararlı yazılımın Flame ile paylaştığı ortak özellikleri tanımlayarak keşfetti Bu ortak özellikler arasında, benzer mimari platformlar, modül yapıları, kod tabanları ve komuta ve kontrol sunucularıyla iletişim yöntemleri bulunuyor Gauss ile ilgili bazı gerçekler: ● Analizler, Gauss’unfaaliyetlerine Eylül 2011 tarihinde başladığını gösteriyor ● Yazılım, Flame üzerinde yapılan derin analizler ve araştırmalar neticesinde edinilen bilgiler sonucunda, ilk olarak Haziran 2012’de keşfedildi ● Keşif, Flame ve Gauss arasındaki güçlü benzerlik ve ilişkiler sayesinde mümkün oldu ● Gauss K&K altyapısı, keşfinden kısa bir süre sonra, Haziran 2012’de kapandı An itibariyle zararlı yazılım, K&K sunucularının aktif hale geçmesini beklerken uyku konumundadır ● Mayıs 2012’nin sonlarından bu yana Kaspersky Lab bulut tabanlı güvenlik sistemlerinin kaydettiği bulaşmaların sayısının 2 bin 500’ün üzerine çıkmasıyla Gauss’un toplam kurbanlarının sayısının onbinlere ulaştığı tahmin ediliyor Bu sayı Stuxnet ile karşılaştırıldığında düşük kalıyor; ancak Flame ve Duqu saldırılarının sayısından ciddi derecede fazla ● Gauss, bulaştığı bilgisayarlardan, tarayıcı geçmişi, çerezler, şifreler ve sistem konfigürasyonları gibi detaylı bilgileri çalıyor Aynı zamanda, çeşitli çevrimiçi bankacılık sistemlerine ve ödeme biçimlerine erişim bilgilerini de çalma yeterliliğine sahip ● Gauss’ un analizleri, aralarında Bank of Beirut, EBLF, BlomBank, ByblosBank,FransaBank ve CreditLibanais’in de bulunduğu pek çok Lübnan bankasından veri çalmak adına tasarlandığını gösteriyor Ek olarak Gauss, CitiBank ve PayPal kullanıcılarını da hedefliyor Yöntem benzer, hedef farklı Gauss, tasarım açısından Flame’e benzemesine rağmen, iki yazılımın hedef coğrafyaları arasında ciddi farklar bulunuyor Flame’in bulaştığı bilgisayarların çoğu İran’da kaydedilmişti; oysa Gauss kurbanlarının çoğu Lübnan’ da tespit edilmiş durumda Bulaşma sayıları da farklılık gösteriyor Kaspersky Security Network (KSN) tarafından verilen bilgilere göre, Gauss yaklaşık 2,500 bilgisayara bulaşmış durumda Karşılaştırma olarak Flame’in bulaşma sayısı, yaklaşık 700 bilgisayar civarlarında Bulaşmanın yöntemi tam olarak bilinmezken, Gauss’unFlame ve Duqu’dan farklı bir yöntem kullandığı açık Ancak önceki diğer iki siber casusluk silahına benzer olarak, Gauss’un yayılma mekanizmaları, operasyonun gizliliğine vurgu yapan kontrollü bir biçimde çalışıyor Kaspersky Lab Kıdemli Güvenlik Uzmanı Alexander Gostev konuyla ilgili olarak; “Gauss ile Flame, tasarımı ve kod tabanı gibi konularda ciddi benzerlikler taşıyor Bu da bizlere zararlı yazılımı keşfetme imkanı verdi Flame ve Duqu’ ya benzer olarak Gauss da, gizliliği vurgulayan tasarımıyla karmaşık bir siber casusluk araç kitidir; ancak amacı Flame ya da Duqu’dan farklıdır Gauss, banka ve finansal bilgilere özel bir odaklanmayla belirli ülkelerden ve çok sayıda kullanıcıyı, büyük miktarlarda veri çalmak adına hedef almaktadır” yorumunu yaptı