Kaspersky Lab, Stuxnet ile Duqu Arasındaki Bağı Saptadıklarını Açıkladı

Kaspersky Laboratuvarı’nda çalışan güvenlik araştırmacıları, Stuxnet ile Duqu yazılımlarını büyük ihtimalle aynı kişi veya grubun yazdığına dair önemli bir kanıt elde ettiklerini açıkladılar. İki kötücül yazılımın kaynak kodları üzerinde çalışan araştırmacılar, en azından 3 yeni ve farklı üst düzey kötücül yazılımın da muhtemelen yayılmakta olduğu konusunda uyarı veriyorlar

2010 yılında İran’daki nükleer tesislere yönelik olarak gerçekleştirilen siber saldırı ile gündeme gelen Stuxnet virüsü ile geçtiğimiz aylarda saptanan Duqu virüsü arasında bir bağlantı olduğu güvenlik camiasında sıklıkla gündeme gelen bir konu. Ancak şu ana dek bu iki kötücül yazılımın aynı grup tarafından geliştirilmiş olduğuna dair bir kanıt bulunamamıştı. NSS tarafından yayınlanan bir analizde iki yazılım arasındaki bağ ortaya konulsa da, bu kaynak kodları üzerinden yapılan bir çalışma ile değil bir tersine mühendislik çalışması ile gösterilmekteydi.

Kaspersky Lab çalışanları ise orijinal kodlar üzerinde yaptıkları çalışma ile ilk kez Duqu ve Stuxnet arasında ciddi bir korelasyon saptamışlar. Kaspesky Lab’ın baş güvenlik uzmanı Alexander Gostev, Stuxnet ile Duqu’da kullanılan sürücüleri incelediklerini ve iki yazılımın büyük ihtimalle aynı ellerden çıktığını saptadıklarını açıklamakta. Gostev, inceledikleri sürücülerin oluşturulma zamanlaması ve kötücül kodun kalan bölümü ile etkileşim metotları açısından şaşırtıcı benzerlikler gösterdiğini söylüyor.

Kaspersky’deki uzmanların yürüttüğü çalışmalar, her iki kötücül yazılımın da Tilded adı verilen ortak bir platform üzerinde oluşturulduğunu ileri sürüyor. Platformun bu ismi almasının sebebi ise uzatma işareti (ingilizce tilde) olarak kullanılan “~” sembolü ve “d.” harfi ile başlayan pek çok dosyanın kullanılıyor oluşu. Söz konusu platformun 2007 yılında oluşturulduğu ve güvenlik uzmanlarınca saptanmamak için 2010 yılında bir güncelleme geçirdiği düşünülmekte. Bu arada söz konusu platform tarafından 5 farklı kötücül yazılım ailesinin oluşturulduğu saptanmış. Duqu ve Stuxnet dışındaki 3 ailenin şu anda potansiyel olarak yayılmakta olabileceği uyarısı yapılıyor.