Sorgulamayan Türkiye’nin başına inşallah bundan sonra daha ağır şeyler gelmez. Dünkü elektrik kesilmesine “bu ancak siber saldırı olabilir” değerlendirmesi yapmıştık ve bazı yerler şüpheyle yaklaştı. Ama Symantec tarafında yeni yayınlanan şu dökümana bakarsanız, “Ortadoğu’da Enerji Sektörünü Hedefleyen Yeni Trojan ; Lazio” başlığını göreceksiniz[1].
Trojan.Laziok sızdığı bilgisayarlardan bilgi alarak, saldırı methodunu o anda oluşturabilen bir virüs olarak tanımlanıyor. Symantec’e göre bu trojan, ocak ve şubat ayı boyunca bilgi toplamış ve topladığı bilgilerle yeni bir trojanı (Backdoor.Cyberat veya Trojan.Zbot) içeri çekmiş.
Symantec tarafından bu yılın ocak ve şubat aylarında dünya çapındaki enerji firmalarında çeşitli düzeylerde saldırılar tespit edilmiş. Bu saldırıların kimin tarafından yapıldığına bakıldığında yeni bir “bilgi çalıcı virüs” tespit edilmiş; Trojan Laziok.
Symantec saldırılarda saldırganların nasıl devam edeceklerine dair bilgiler topladıkları ve özellikle petrol, gaz, helyum endüstrilerini hedefledikleri belirtiliyor. Saldırıların arkasındaki kişilerin hedeflerinin stratejik firmalar olduğu anlaşılıyor. Symantec toplanan bilgilerle, saldırının nasıl devam edeceği ya da saldırı yapılıp, yapılmayacağı kararları verilmiş.
Symantec Lazio’nun “Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158)” açığı üzerinden saldırdığını raporluyor[2]. İlginç olan bu açığa karşı geliştirilmiş çözüm de var. Yani saldırganın saldırıyı yapabilmesi için tersi de geçerli, kullanıcı tarafının güvenlik önlemlerine tam dikkat etmediği gözüküyor.
Trojan’ın kendisini “%SystemDrive%Documents and SettingsAll UsersApplication DataSystemOracle” directory altında sakladığı ve chrome.exe, taskmgr.exe, admin.exe gibi farklı bir isim aldığı görülmüş.
Trojan daha sonra, bilgisayarın ismi, içerdeki yazılımlar, RAM büyüklüğü, hard disk büyüklüğü, GPU detayları, CPU detayları, antivirüs yazılım gibi çeşitli bilgileri topladığı görülmüş. Bu bilgilerin bilahere yöneten merkeze geri gönderildiği belirtiliyor. Saldırganlar da bu sistem özelliklerine göre yeni bir virüs gönderiyorlarmış. Bu durumda da gönderdikleri virüs Backdoor.Cyberat ve Trojan.Zbot olarak tanımlanıyor. Saldırganların İngiltere, ABD ve Bulgaristan’daki sunucular üzerinden hareket ettiği belirtiliyor.
Symantec saldırının arkasındaki grubu “çok ileri değil” şeklinde tanımlıyor. Kullandıkları açığın eski, yöntemlerin ise internetteki kanunsuz sitelerden kolayca bulunabilir araçlar içerdiğini söylüyor.
Ama tabi ki burada bir kabahatli, 2012’de çözümü açıklanan bir açığı yamalamayan sistem yöneticileri.
[1] New Reconnaissance Threat Trojianiaziok Targets Energy Sector