Siber güvenlik firmasi Kaspersky Lab yeni kesfettigi Gauss isimli virüsün, daha önce Iran'in nükleer programina saldirarak gündeme gelen Stuxnet ile ayni elden çiktigini açikladi.

Gauss, sosyal medya hesaplari, emailler gibi kisisel veriler disinda, banka hesaplarina ait bilgileri de ele geçirmeyi hedefliyor. bu nedenle Gauss daha önceki benzerleri olan Flame ve Stuxnet'ten ayriliyor çünkü onlar sadece sanayi casuslugu odakli hazirlanmis virüslerdi.

Simdilik basta Lübnan, Filistin ve Israil olmak üzere Ortadogu'daki kullanicilari etkiledigi düsünülen Gauss ile ilgili bazi önemli noktalar söyle:

AMACI NE?
Gauss bir takip araci. Online banka sistemleri, sosyal medya siteleri ve email hesaplarina dair kilit bilgileri çaliyor. Ayrica bulastigi bilgisayarlardaki, internet gezinti geçmisi, sistem parolalalri ve harddiskteki bilgileri de topluyor. Gauss, bulastigi bilgisayarlardan, tarayici geçmisi, çerezler, sifreler ve sistem konfigürasyonlari gibi detayli bilgileri çaliyor. Ayni zamanda, çesitli çevrimiçi bankacilik sistemlerine ve ödeme biçimlerine erisim bilgilerini de çalma yeterliligine sahip.

BASKA NELER YAPABILIR?
Içinde henüz gizemi çözülmemeis olan Godel adli bir modül bulunuyor. Bu mobül Gauss bulasmis bilgisayarlara USB disk takildiginda devreye giriyor ve buraya zararli bir kod ygklüyor. Godel'in amaci tam olarak anlasilmis degil çünkü kodu sikistirilmis ve çok karmasik bir sifreleme kullaniyor. Kaspersky Lab'in üst düzey arastirmacisi Roel Schouwenberg bu modülün, ciddi bir tehidt oldugunu ve sanayi kontrol sistemlerine zarar vermek üzere dizayn edildigine inandigini açikladi.
 

ALMAN MATEMATIKÇINI ADINI TASIYOR
Yeni zararli yazilim, Kaspersky Lab uzmanlari tarafindan Haziran 2012’de kesfedildi. Ana modüle, kimlikleri bilinmeyen yaraticilari tarafindan, Alman matematikçi Johann Carl Friedrich Gauss’un ismi verildi. Diger parçalar da Joseph-Louis Lagrange ve Kurt Gödel gibi ünlü matematikçilerin adlarini tasiyordu. Arastirma, Gauss’un ilk aktivitelerinin Eylül 2011’e kadar uzandigini tespit etti. Haziran 2012’de, Gauss’un komuta ve kontrol sunuculari islerligini yitirdi.

Kaspersky Lab uzmanlari Gauss’u, zararli yazilimin Flame ile paylastigi ortak özellikleri tanimlayarak kesfetti. Bu ortak özellikler arasinda, benzer mimari platformlar, modül yapilari, kod tabanlari ve komuta ve kontrol sunuculariyla iletisim yöntemleri bulunuyor.

Gauss ile ilgili bazi gerçekler:
 

1. Analizler, Gauss’un faaliyetlerine Eylül 2011 tarihinde basladigini gösteriyor.
2. Yazilim, Flame üzerinde yapilan derin analizler ve arastirmalar neticesinde edinilen bilgiler sonucunda, ilk olarak Haziran 2012’de kesfedildi.
3. Kesif, Flame ve Gauss arasindaki güçlü benzerlik ve iliskiler sayesinde mümkün oldu.
4. Gauss K&K altyapisi, kesfinden kisa bir süre sonra, Haziran 2012’de kapandi. An itibariyle zararli yazilim, K&K sunucularinin aktif hale geçmesini beklerken uyku konumundadir.
5. Mayis 2012’nin sonlarindan bu yana Kaspersky Lab bulut tabanli güvenlik sistemlerinin kaydettigi bulasmalarin sayisinin 2 bin 500’ün üzerine çikmasiyla Gauss’un toplam kurbanlarinin sayisinin onbinlere ulastigi tahmin ediliyor. Bu sayi Stuxnet ile karsilastirildiginda düsük kaliyor; ancak Flame ve Duqu saldirilarinin sayisindan ciddi derecede fazla.
6. Gauss’ un analizleri, aralarinda Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank ve Credit Libanais’in de bulundugu pek çok Lübnan bankasindan veri çalmak adina tasarlandigini gösteriyor. Ek olarak Gauss, CitiBank ve PayPal kullanicilarini da hedefliyor.

HEDEFLER FARKLI
Gauss, tasarim açisindan Flame’e benzemesine ragmen, iki yazilimin hedef cografyalari arasinda ciddi farklar bulunuyor. Flame’in bulastigi bilgisayarlarin çogu Iran’da kaydedilmisti; oysa Gauss kurbanlarinin çogu Lübnan’ da tespit edilmis durumda. Bulasma sayilari da farklilik gösteriyor. Kaspersky Security Network (KSN) tarafindan verilen bilgilere göre, Gauss yaklasik 2,500 bilgisayara bulasmis durumda. Karsilastirma olarak Flame’in bulasma sayisi, yaklasik 700 bilgisayar civarlarinda.

Bulasmanin yöntemi tam olarak bilinmezken, Gauss’un Flame ve Duqu’dan farkli bir yöntem kullandigi açik. Ancak önceki diger iki siber casusluk silahina benzer olarak, Gauss’un yayilma mekanizmalari, operasyonun gizliligine vurgu yapan kontrollü bir biçimde çalisiyor.

Kaspersky Lab Kidemli Güvenlik Uzmani Alexander Gostev konuyla ilgili olarak; “Gauss ile Flame, tasarimi ve kod tabani gibi konularda ciddi benzerlikler tasiyor. Bu da bizlere zararli yazilimi kesfetme imkani verdi. Flame ve Duqu’ ya benzer olarak Gauss da, gizliligi vurgulayan tasarimiyla karmasik bir siber casusluk araç kitidir; ancak amaci Flame ya da Duqu’dan farklidir. Gauss, banka ve finansal bilgilere özel bir odaklanmayla belirli ülkelerden ve çok sayida kullaniciyi, büyük miktarlarda veri çalmak adina hedef almaktadir” yorumunu yapti.