Mayıs 2012’de keşfedilen Flame bugüne kadar keşfedilen en karmaşık silah olarak kabul ediliyor. Keşfedildiğinde, Flame’i geliştiren ekibin, Stuxnet ya da Duqu’yu geliştiren ekiple ilişkili olduğuna dair bir işaret yoktu.
Flame ve Duqu/Stuxnet’in geliştirilme yaklaşımları farklıydı ve bu nedenle farklı ekipler tarafından geliştirilldiği düşünüldü. Ama Kaspersky Lab ekipleri tarafından yapılan daha derinlikli araştırmalar, bu ekiplerin ilişkili olduğunu ya da hiç olmazsa geliştirmelerin ilk dönemlerinde işbirliği yaptıklarını ortaya koydu.
Kaspersky, Flame içinde bulunan “Resource 207” adlı bir modülün Stuxnet’in 2009 versiyonunda yer aldığını buldu. Bunun anlamı 2009’un başlarında Stuxnet virüsünün yaratıldığı dönemde, Flame platformunun da mevcut olduğudur. Yani 2009’da Flame’in en az bir modülü Stuxnet içinde kullanıldı.
Bu modül virüsün USB sürücülerle yayılmasını sağlıyordu. USB sürücüsünden bulaşma mekanizması Fame ve Stuxnet içinde aynı. Ama 2010 yılında Stuxnet’ten bu modül çıkarılmış, yerine yeni açıklar için kullanılan bir kaç farklı modül eklenmiş.
2010’dan başlayarak, bağımsız çalışan 2 geliştirici ekip çalışmış gözüküyor. Bunlar arasındaki ilişkinin sadece “sıfırıncı gün” açığı konusunda bilgi değiş tokuşu olduğu sanılıyor.
Virüslerde Kilometre Taşı Stuxnet; Endüstriyel Siber Savaş
Stuxnet endüstriyel tesisleri vurmakta kullanılan ilk siber silahtı. Yanısıra dünya çapında PC’lere bulaştığı için ortalıkta böyle bir virüs olduğu haziran 2010’da keşfedildi[1].
Ondan sonra farkedilebilen siber silahın adı Duqu idi. Ortalıkta dolaştığı eylül 2011’de keşfedildi[2]. Stuxnet’in aksine bir arka kapı gibi çalışıyordu ve bulaştığı sistemden bilgi çalıyordu. (siber-espiyonaj)
Duqu’nun analizi sırasında Stuxnet ile çok benzediği ortaya çıktı. Bu virüslerin oluşturulduğu platform, “Tilded Platform” olarak biliniyor. “Tilde” ingilizcede yaklaşık ya da uzatma işaretine verilen isim. Tilded denmesinin nedeni ise bu virüs geliştiricilerin virüs adlarını “~d*.*” seklinde secmeleri. Bu nedenle de platforma tilde-d deniliyor..
Sonraki silah Flame ise mayıs 2012’de tespit edildi[3]. Kendisinden önceki siber silahlardan çok daha karmaşıktı. İlk bakışta da kendisinden öncekilerden çok farklıydı. Ama gerek boyutu, gerek LUA programlama dilinin kullanılmış oluşu ve gerekse çeşitli fonksiyonları Flame’in kendisinden önceki siber silahlar olan Duqu ve Stuxnet ile bağlantılı olabileceğini gösterdi.
Bu konuda biz normal internet kullanıcılarının farkında olamadığı bir tarih yazılıyor. Sessz sedasız siber savaşa girdik.
Yeni Bulgular
Stuxnet’in bilinen ilk versiyonunun 2009’da yaratıldığı sanılıyor. Bu versiyonda yer alan “Resource 207” adını taşıyan modül, 2010 versiyonunda ortadan kaldırılmış. Bu modül şifrelenmiş bir DLL dosyası ve 351,768 byte’lık adı “atmpsvcn.ocx” olan bir komut dosyası taşıyor.
Kaspersky Lab, bu özel dosyanın Flame’de kullanılan kodla pek çok ortak noktası olduğunu bildiriyor. Bunlar arasında farklı bölümlerin karşılıklı olarak aynı adı taşıması, bazı komutların şifrelerinin çözülme algoritması ve dosya adlandırılmasında benzer yaklaşım sayılıyor.
Daha da önemlisi, Stuxnet ile Flame’de kodun pek çok bölümleri hemen hemen aynı ya da benzer. Bu nedenle Duqu/Stuxnet ile Flame yaratıcı ekipleri arasında bir kod alışverişi olduğu düşünülüyor.
Stuxnet’in ilk fonksiyonu olan “Resource 207” modülü bir makinadan diğerine bulaşmayı sağlıyor. Bunun için USB sürücüleri ya da Windows kernel’deki açıkları kullanıyor. Flame’deki duruma bakıldığında, benzer bir bulaşma modeli bulunuyor.
Kaspersky Lab Baş Güvenlik Uzmanı Alexander Gostev bu konuda şunları söylüyor;
Yeni bulgulara karşın, Flame ve Tilded platformun tamamen farklı olduğunu ve çok sayıda siber silah geliştirmekte kullanılmış olduğunu düşünüyoruz.
Herbirisinin, sistemlere bulaşma ve görevlerini yerine getirme yolunda kendilerine özgü aldatma yöntemleri ve kendi mimarileri var. Bu nedenle projelerin birbirinden farklı ve bağımsız olduklarını düşünüyoruz.
Buna karşın, yeni bulgularımızın ışığında yaratıcı ekiplerin kaynak kodlarını paylatıklarını da sanıyoruz. Özellikle geliştirmenin ilk safhalarında kullanılan 1 modül nedeniyle bu ekiplerin en az bir kez işbirliği yapmış olabileceğini ortaya koyduk.
Stuxnet/Duqu ve Flame siber-silahlarının birbiriyle ilişkili oldukları çok açık.
[1] Stuxnet Solucanı İran’ı Hedef Alıyor
[2] Stuxnet Programcıları Şimdi de Duqu’yu Hazırlıyor
[3] Flame İsimli Bir Virüsün Kitle Halinde Saldırılar Gerçekleştirdiği Uyarısı Yapıldı