Güncelleme Tarihi:
Güvenli içerik yönetim çözümleri alanındaki lider şirket Kaspersky Lab, hedeflenmiş siber casusluk operasyonları sırasında veri hırsızlığı yapmak ve virüs bulaşmış sistemleri kontrol etmek için geliştirilmiş, küçük ama oldukça esnek zararlı program “miniFlame”in keşfedildiğini duyurdu.
Aynı zamanda SPE olarak bilinen miniFlame, Temmuz 2012’de Kaspersky Lab uzmanları tarafından bulundu ve başlangıçta Flame modülü olarak tanımlandı. Ancak, Eylül 2012’de Kaspersky Lab araştırma ekibinin Flame’in yönetim ve kontrol sunucuları (C&C) üzerinde yaptığı ayrıntılı analiz sonucunda, miniFlame modülünün aslında bağımsız bir zararlı program olduğu saptandı. Yine aynı çalışmalarda mini Flame’in hem Flame hem de Gauss zararlı yazılımları için bir eklenti olarak kullanılabilen bir araç olduğu da ortaya çıkarıldı.
miniFlame’in analizi, 2010 ve 2011 yılında yaratılan bazı versiyonlarındaki belirli türlerin hala aktif olarak kullanıldığını gösteriyor. Analiz aynı zamanda, Flame ve Gauss yaratıcılarının arasındaki ortaklığı bir kez daha göz önüne seriyor. Çünkü her iki zararlı yazılım da miniFlame’i operasyonlarında “eklenti” olarak kullanabiliyor. Ayrıca, Flame ve Stuqnet/Duqu arasındaki bağlantının ortaya çıkarılmasıyla, ileri düzeydeki tüm tehditlerin aynı “siber silah” fabrikasından çıktığı söylenebilir.
4 YILDA YARATILMIŞ
Aynı zamanda SPE olarak anılan miniFlame, Flame ile aynı mimari platforma sahip. Böylece hem bağımsız bir siber casusluk programı hem de Flame ve Gauss’un bileşeni olarak işlev görebiliyor. Bu siber casusluk aracı, veri hırsızlığı yaparak, virüs bulaşmış sistemlere doğrudan erişim sağlayabiliyor.
miniFlame’in geliştirilip bugünkü hale getirilme sürecinin 2007 yılında başladığı ve 2011’in sonlarına dek devam etmiş olduğu düşünülüyor. Birçok değişik versiyonlarının da yaratıldığı varsayımlar arasında. Şu ana dek Kaspersky Lab, 4.x ve 5.x -en önemli jenerasyonları- taramış ve altı farklı versiyonu keşfetmiş durumda.
Yüksek miktarda virüs taşıyan Flame ya da Gauss’un aksine, miniFlame ‘in taşıdığı virüs oranı daha düşük seviyede. Kaspersky Lab’in bulgularına göre, miniFlame bugüne kadar 10 ya da 20 makineye virüs bulaştırmış durumda. miniFlame’in bilgi hırsızlığı özelliği ve birden fazla amaca hizmet etmesi, onun özellikle siber casusluk operasyonlarında kullanıldığını ve muhtemelen Flame ya da Gauss’un bulaştığı makinelerde görev aldığını kanıtlar nitelikte.
Kaspersky Lab, Güvenlik Sorumlusu Alexander Gostev, “miniFlame”in adının aksine güçlü bir saldırı aracı olduğunu vurguladı. “Muhtemelen, siber saldırılarının ikinci dalgasında kullanılan hedeflenmiş bir siber silah…” açıklamasını yapan Gostev, “Flame ve Gauss yüksek hacimde bilgi toplamak ve olabildiğince fazla kurbana virüs bulaştırmak için kullanılmıştı. Bilgiler toplandıktan ve gözden geçirildikten sonra, bir kurban seçilmiş ve daha derin bir denetim ve siber casusluk yapmak amacıyla seçilen kurbanın cihazına miniFlame’in yüklendiğini tespit ettik” dedi. Gostev’e göre, miniFlame’in keşfi, siber savaş operasyonlarında kullanılan en ünlü yazılımların -Stuxnet,Duqu,Flame ve Gauss- geliştiricileri arasındaki ortaklığı da gözler önüne seriyor.
NASIL ÇALIŞIYOR?
miniFlame’in virüs bulaştırma yöntemi henüz kesin olarak belirlenememiş durumda. miniFlame, Flame ve Gauss arasındaki doğrulanmış ilişkiye bakılacak olursa, miniFlame’in, Flame ve Gauss zararlı yazılımları etkisi altındaki bilgisayarlara eklendiği söylenebilir. miniFlame yüklendiğinde, bir arka kapı niteliğinde davranarak zararlı yazılımların virüs bulaşmış makinedeki her türlü dosyaya ulaşmalarını sağlıyor. Bilgi hırsızlığı özelliği sayesinde, bilgisayar tarayıcı, Microsoft Office, Adobe Reader, anlık mesajlaşma servisleri ya da FTP gibi spesifik programları ya da uygulamaları çalıştırırken anlık görüntüleri kaydediyor. miniFlame, C&C sunucusuna bağlanarak, çalınan bilgileri yüklüyor. Aynı zamanda, miniFlame, C&C operatörü vasıtasıyla virüs bulaşmış sisteme ek bir bilgi hırsızlık modülü gönderilebiliyor. Böylece, USB sürücülerine virüs bulaştırılıyor ve internet bağlantısına gereksinim duyulmadan bilgisayardan toplanan veriler orada depolanıyor.