Türkiye'nin en güncel forumlardan olan forumdas.com.tr'de forumda aktif ve katkısı olabilecek kişilerden gönüllü katkıda sağlayabilecek kişiler aranmaktadır.
iltasyazilim
FD Üye
Mayıs ayında keşfedilen sibersilah Flame ile endüstriyel tesisleri hedefleyen ilk siber silah olan Stuxnet ve Duqu’nun yaratıcılarının en az bir kez birlikte hareket etmiş oldukları KasperskyLab tarafından ispatlandı
Güvenli içerik ve tehdit yönetimi çözümleri lideri KasperskyLab, Mayıs ayında şu ana kadarki en karmaşık sibersilah olarak adlandırılan “Flamei keşfettiğiniduyurmuştu KaysperskyLab, keşif aşamasındaFlame ile yaklaşık iki yıl önce ortaya çıkan ve endüstriyel tesisleri hedefleyen ilk siber silah olan Stuxnet ve Duqu arasında alakalı güçlü bir kanıta rastlamamıştı Hatta Flame ve DuquStuxnet’in gelişimlerindeki yaklaşımların oldukça farklı olması, bu projelerin farklı kişiler tarafından oluşturulduğu görüşünü güçlendiriyordu
Ancak, sonrasında KasperskyLab uzmanları tarafından gerçekleştirilen detaylı araştırma, projeyi gerçekleştiren takımların başlangıç aşamasında bir kerelik de olsa işbirliği içine girdiklerini ortaya çıkardı
İşte KasperskyLab’in bu sonuca ulaşmak için kullandığı bulgular:
• KasperskyLab, “Resource 207 adıyla bilinen başındaki Stuxnetversiyon modülünün aslında Flame eklentisi olduğunu keşfetti
• Bu daStuxnetworm’un ’un başında yaratıldığını, Flameplatformu’nun çoktan varolduğunu ve yılında Flame’in en az bir modülünün kaynak kodunun Stuxnet’te kullanıldığı anlamına geliyor
• Modül, USB sürücüleri yoluyla virüs yayması için kullanılıyordu USB sürücüsü virüs mekanizmasının Flame ve Stuxnet’te aynı olduğu tespit edildi
• Stuxnet içerisindeki Flamemodülü, o zaman bilinmeyen ve muhtemelen MS09025 kodlu, kullanıcı izinlerinin yükseltilmesini sağlayan bir açığı kullandı
• Ardından, 2010 yılında, Flame modülü Stuxnet’ ten kaldırıldı ve farklı açıkları kullanmayı mümkün kılan birkaç farklı modül getirildi
• 2010 yılından başlayarak, iki geliştirici ekip, yeni “sıfırıncı gün açıkları ile ilgili bilgilerini paylaşma bazında şüphelenilen bir işbirliği dışında bağımsız çalıştılar
Stuxnet’in tarihi yeniden yazıldı
Stuxnet, endüstriyel tesisleri hedefleyen ilk siber silahtı Stuxnet’in aynı zamanda dünya genelinde sıradan PC’leri de etkileyerek Haziran 2010’da keşfedilmiş olmasına rağmen, zararlı yazılımın bundan 1 yıl önce yaratıldığı düşünülüyor Duqu siber silahların sonraki örneği ise, Eylül 2011’de bulundu Stuxnet’in aksine DuquTrojan’ının ana amacı, sisteme bir arka kapı görevi görmek ve sibercasusluk yoluyla kişisel bilgileri çalmaktı
Duqu’nun analizi sırasında, Stuxnet ile arasında ciddi benzerlikler keşfedildi Her iki siber silahın, aynı saldırı platformu olarak bilinen “Tilded Platformu kullanılarak yaratıldığı ortaya konuldu İsim, zararlı yazılımın geliştiricilerinin “~d**, yani “Tilded şeklinde kullanma tercihlerinden ileri gelmekteydi
Mayıs 2019 tarihinde, Uluslararası İletişim Birliği International Communications Union (ITU) tarafından başlatılan ve KasperskyLab tarafından gerçekleştirilen araştırmayla keşfedilen Flame zararlı yazılımı ise, ilk bakışta bu ikisinden tümüyle farklıydı Zararlı yazılım boyutu, LUA dilinin kullanımı ve farklı fonksiyonelliği gibi bazı özellikleri Flame’inDuqu ya da Stuxnet’in yaratıcılarına bağlı olmadığını düşündürdü Ancak, yeni ortaya çıkan gerçekler Stuxnet’in tarihini tamamıyla yeniden yazdı ve şüphesiz olarak, “Tilded platformunun da Flame ile ilişkili olduğu sonucunu verdi
En az bir kez birlikte hareket ettiler
Yaklaşık olarak Haziran ’ da yaratılanStuxnet’ in en eski sürümü, “Kaynak: 207 adında özel bir modül içeriyor Takip eden 2010 sürümünde bu modül Stuxnet’ten tümüyle çıkarılmıştı “Kaynak 207 modülü, kriptolanmış bir DLL dosyasıydı ve “atmpsvcnocx isminde, 351768 byte’lık bir uygulama dosyası içermekteydi Bu özel dosya, şu anda KasperskyLab araştırmalarında da görüldüğü üzere, Flame’de kullanılan kod ile birçok ortak özellik taşıyor Çarpıcı benzerlikler listesinde, ortak kullanılan ayırt edici objeler, satırların şifresini kırmak için kullanılan algoritma ve dosya isimlendirmesine benzer yaklaşım var
Dahası, kodun birçok bölgesi, sırasıyla Stuxnet ve Flamemodüllerinde benzer ya da aynı gibi görünüyorBu durum, Flame ve DuquStuxnet ekipleri arasında gerçekleşen takasın, kaynak kodu bazında gerçekleştiğinin (yani ikili formda gerçekleşmediğinin) sonucuna varmamızı sağlıyor Stuxnet “Kaynak 207 modülünün temel fonksiyonu, çıkarılabilir USB sürücüleri kullanarak enfeksiyonu bir makineden diğerine yaymak ve Windows kernel’i içerisindeki açıklardan faydalanarak sistem içinde hakların yükseltilmesini sağlamaktı Zararlı yazılımın USB sürücüler ile dağıtımından sorumlu olan kod, Flame’de kullanılanla birebir aynı görünüyor
KasperskyLab Ana Güvenlik Uzmanı Alexander Gostev, elde dilen bu son bulgularla ilgili olarak, “Yeni keşfedilen gerçeklere karşın, Flame ve Tilded’ın tamamen farklı platformlar olup, birçok siber silahın yaratılmasında kullanıldığından eminiz Her birinin farklı mimarileri mevcut ve sistemlere girmek ve amaçlarını gerçekleştirmek için farklı yöntemleri var Projeler kesinlikle birbirinden ayrı ve bağımsızdı Ancak, geliştirmenin ilk zamanlarında en az bir modülün kaynak kodunun paylaşılmasının yolunun açığa çıkaran yeni bulgular, ekiplerin en az bir defa birlikte hareket ettiğini gösteriyor Bu bulgular, StuxnetDuqu ve Flame siber silahlarının bağlı olduğu hakkında çok güçlü bir kanıt yorumunda bulundu
Araştırma hakkında daha detaylı bilgi Securelistcom adresinde bulunabilir Flame zararlı yazılımı hakkında daha fazlasını öğrenmek için, KasperskyLab güvenlik araştırmacılarınca yazılan Flame SSS kısmına başvurabilirsiniz
Linkleri sadece kayıtlı üyelerimiz görebilirForumTR üyesi olmak için tıklayınız
Güvenli içerik ve tehdit yönetimi çözümleri lideri KasperskyLab, Mayıs ayında şu ana kadarki en karmaşık sibersilah olarak adlandırılan “Flamei keşfettiğiniduyurmuştu KaysperskyLab, keşif aşamasındaFlame ile yaklaşık iki yıl önce ortaya çıkan ve endüstriyel tesisleri hedefleyen ilk siber silah olan Stuxnet ve Duqu arasında alakalı güçlü bir kanıta rastlamamıştı Hatta Flame ve DuquStuxnet’in gelişimlerindeki yaklaşımların oldukça farklı olması, bu projelerin farklı kişiler tarafından oluşturulduğu görüşünü güçlendiriyordu
Ancak, sonrasında KasperskyLab uzmanları tarafından gerçekleştirilen detaylı araştırma, projeyi gerçekleştiren takımların başlangıç aşamasında bir kerelik de olsa işbirliği içine girdiklerini ortaya çıkardı
İşte KasperskyLab’in bu sonuca ulaşmak için kullandığı bulgular:
• KasperskyLab, “Resource 207 adıyla bilinen başındaki Stuxnetversiyon modülünün aslında Flame eklentisi olduğunu keşfetti
• Bu daStuxnetworm’un ’un başında yaratıldığını, Flameplatformu’nun çoktan varolduğunu ve yılında Flame’in en az bir modülünün kaynak kodunun Stuxnet’te kullanıldığı anlamına geliyor
• Modül, USB sürücüleri yoluyla virüs yayması için kullanılıyordu USB sürücüsü virüs mekanizmasının Flame ve Stuxnet’te aynı olduğu tespit edildi
• Stuxnet içerisindeki Flamemodülü, o zaman bilinmeyen ve muhtemelen MS09025 kodlu, kullanıcı izinlerinin yükseltilmesini sağlayan bir açığı kullandı
• Ardından, 2010 yılında, Flame modülü Stuxnet’ ten kaldırıldı ve farklı açıkları kullanmayı mümkün kılan birkaç farklı modül getirildi
• 2010 yılından başlayarak, iki geliştirici ekip, yeni “sıfırıncı gün açıkları ile ilgili bilgilerini paylaşma bazında şüphelenilen bir işbirliği dışında bağımsız çalıştılar
Stuxnet’in tarihi yeniden yazıldı
Stuxnet, endüstriyel tesisleri hedefleyen ilk siber silahtı Stuxnet’in aynı zamanda dünya genelinde sıradan PC’leri de etkileyerek Haziran 2010’da keşfedilmiş olmasına rağmen, zararlı yazılımın bundan 1 yıl önce yaratıldığı düşünülüyor Duqu siber silahların sonraki örneği ise, Eylül 2011’de bulundu Stuxnet’in aksine DuquTrojan’ının ana amacı, sisteme bir arka kapı görevi görmek ve sibercasusluk yoluyla kişisel bilgileri çalmaktı
Duqu’nun analizi sırasında, Stuxnet ile arasında ciddi benzerlikler keşfedildi Her iki siber silahın, aynı saldırı platformu olarak bilinen “Tilded Platformu kullanılarak yaratıldığı ortaya konuldu İsim, zararlı yazılımın geliştiricilerinin “~d**, yani “Tilded şeklinde kullanma tercihlerinden ileri gelmekteydi
Mayıs 2019 tarihinde, Uluslararası İletişim Birliği International Communications Union (ITU) tarafından başlatılan ve KasperskyLab tarafından gerçekleştirilen araştırmayla keşfedilen Flame zararlı yazılımı ise, ilk bakışta bu ikisinden tümüyle farklıydı Zararlı yazılım boyutu, LUA dilinin kullanımı ve farklı fonksiyonelliği gibi bazı özellikleri Flame’inDuqu ya da Stuxnet’in yaratıcılarına bağlı olmadığını düşündürdü Ancak, yeni ortaya çıkan gerçekler Stuxnet’in tarihini tamamıyla yeniden yazdı ve şüphesiz olarak, “Tilded platformunun da Flame ile ilişkili olduğu sonucunu verdi
En az bir kez birlikte hareket ettiler
Yaklaşık olarak Haziran ’ da yaratılanStuxnet’ in en eski sürümü, “Kaynak: 207 adında özel bir modül içeriyor Takip eden 2010 sürümünde bu modül Stuxnet’ten tümüyle çıkarılmıştı “Kaynak 207 modülü, kriptolanmış bir DLL dosyasıydı ve “atmpsvcnocx isminde, 351768 byte’lık bir uygulama dosyası içermekteydi Bu özel dosya, şu anda KasperskyLab araştırmalarında da görüldüğü üzere, Flame’de kullanılan kod ile birçok ortak özellik taşıyor Çarpıcı benzerlikler listesinde, ortak kullanılan ayırt edici objeler, satırların şifresini kırmak için kullanılan algoritma ve dosya isimlendirmesine benzer yaklaşım var
Dahası, kodun birçok bölgesi, sırasıyla Stuxnet ve Flamemodüllerinde benzer ya da aynı gibi görünüyorBu durum, Flame ve DuquStuxnet ekipleri arasında gerçekleşen takasın, kaynak kodu bazında gerçekleştiğinin (yani ikili formda gerçekleşmediğinin) sonucuna varmamızı sağlıyor Stuxnet “Kaynak 207 modülünün temel fonksiyonu, çıkarılabilir USB sürücüleri kullanarak enfeksiyonu bir makineden diğerine yaymak ve Windows kernel’i içerisindeki açıklardan faydalanarak sistem içinde hakların yükseltilmesini sağlamaktı Zararlı yazılımın USB sürücüler ile dağıtımından sorumlu olan kod, Flame’de kullanılanla birebir aynı görünüyor
KasperskyLab Ana Güvenlik Uzmanı Alexander Gostev, elde dilen bu son bulgularla ilgili olarak, “Yeni keşfedilen gerçeklere karşın, Flame ve Tilded’ın tamamen farklı platformlar olup, birçok siber silahın yaratılmasında kullanıldığından eminiz Her birinin farklı mimarileri mevcut ve sistemlere girmek ve amaçlarını gerçekleştirmek için farklı yöntemleri var Projeler kesinlikle birbirinden ayrı ve bağımsızdı Ancak, geliştirmenin ilk zamanlarında en az bir modülün kaynak kodunun paylaşılmasının yolunun açığa çıkaran yeni bulgular, ekiplerin en az bir defa birlikte hareket ettiğini gösteriyor Bu bulgular, StuxnetDuqu ve Flame siber silahlarının bağlı olduğu hakkında çok güçlü bir kanıt yorumunda bulundu
Araştırma hakkında daha detaylı bilgi Securelistcom adresinde bulunabilir Flame zararlı yazılımı hakkında daha fazlasını öğrenmek için, KasperskyLab güvenlik araştırmacılarınca yazılan Flame SSS kısmına başvurabilirsiniz
Linkleri sadece kayıtlı üyelerimiz görebilirForumTR üyesi olmak için tıklayınız
