Duqu’yu geliştirenler de Stuxnet benzeri Profesyoneller



En az sekiz ülkedeki endüstriyel ücreticileri hedefleyen Duqu zararlı yazılımının yaratıcıları her bir saldırıyı kurbana özel olarak hazırlamış. Dahası, Kaspersky firmasından Alexander Gostev saldırılardan

birinde kullanılan rootkit’in iki sürücüsünün derlenme tarihlerinin 2007 ve 2008 olduğunu söyledi. Eğer tarihler doğru ise Duqu mimarları dört yıldır bu zararlı yazılım üzerinde çalışıyorlar.

Olay mahallinde en ufak delil için tarama yapan adli tıp uzmanları gibi güvenlik araştırmacıları da Duqu ile alakalı tüm eposta ve bilgisayarları inceleyerek kimin hangi amaçla yarattığını bulmak için ipuçları arıyorlar. Görünen o ki Duqu’yu geliştirenler de Stuxnet’i geliştirnler gibi çok usta bir mühendis ekibi ve maddi olarak finanse ediliyorlar.

Cuma günkü raporda incelenen Duqu sürümü Sudan acil bilgisayar müdahele ekibi tarafından, ismi açıklanmayan bir firmada bulunmuş. Diğer hedeflere olan saldırılarda olduğu gibi hedeflenen firmaya özel bubi tuzaklı bir Word dokümanı ile, önceden bilinmeyen ve Microsoft Windows’un tüm sürümlerinde olan bir kernel güvenlik açığı kullanılarak, başlatılmış.

Kaspersky’nin bulgularına göre ilk bulaştırma denemesi başarısız olmuş çünkü eposta spam klasörüne düşmüş. İlk eposta gönderildikten dört gün sonra, 21 Mayısta saldırganlar biraz değiştirilmiş başka bir mesajla denemişler. Hem konu satırı hem de ek dosyanın adı hedeflenen firmaya özel hazırlanmış. İlginç olanı trojan’ın ana modülü olarak sunulan DLL dosyasının tarihi, hedefe bulaştırılma denemesinin yapıldığı ilk tarih, 17 nisan.

İkinci epostanın alıcısı Word dokümanını açtığında kötü amaçlı yükü anında bilgisayarın kontrolünü ele geçirip 10 dakika birşey yapmadan durmuş. Exploit casus bileşenlerini kullanıcı bilgisayarda işlem yapmayı bırakana kadar kurmuyor. Bulaşılan bilgisayar araştırmacıların daha önce hiç rastlamadıkları bir komut kontrol sunucusu kullanıyor. Araştırmacılar şu ana kadar bu tipte en az dört sunucu tespit etmişler ve her biri sadece bir hedeften veri alıp göndermeye ayarlanmış.

Saldırganların yetenekleri ve gösterdikleri özenin yanında mizah anlayışları olduğu da görülüyor. Exploit’leri için olan zararlı shellcode “Dexter Regular” adında uydurma bir font içine gömülü ve “Copyright (c) 2003 Showtime Inc.” satırına sahip. Gizli mesaj açıkça Dexter televizyon dizisine işaret ediyor.

Kaynak


Yorum Ekle

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Captcha