Sabit disklere bulaşarak İnternet'e bağlı olmayan bilgisayarlardan bilgi zırdırabilen zararlı: Fanny

Kaspersky tarafından çeşitli bulgularla birlikte dile getirilen Seagate, Western Digital, Toshiba, Samsung gibi pek çok büyük markanın sabit disklerine casus yazılım bulaştırılabildiği ve bu operasyonun arkasında ABD Ulusal Güvenlik Ajansı NSA'nın olabileceği iddiası ortalığı karıştırdı.

Kaspersky, varlığından yeni haberdar olunan ve geliştirilmesi çok karmaşık ve pahalı olan teknikler kullandığı görülen "Equation" adlı profesyonel hacker grubu tarafınddan az 30 ülkede on binlerce kişi ve kurumun bilgilerinin ele geçirildiği konusunda iddialarda bulundu. Equation'ın en fazla operasyon yaptığı ülkeler arasında İran, Rusya, Pakistan, Afganistan, Hindistan, Çin, Suriye ve Mali var. İddialara göre, hükümetlere, kurumlara ve stratejik açıdan önemli kuruluşların bilgisayarlarına girmeyi başaran grup, bugüne dek bu alanda bilinen tüm kişi ve gruplardan çok daha etkili. Grubun hedefleri arasında hükümetler, diplomatik temsilcilikler, ordular, medya, İslami örgütler, iletişim kuruluşları, nanoteknoloji merkezleri, finans ve enerji firmaları da yer alıyor.

Kaspersky güvenlik araştırmacılarının bulgularına göre, grup casusluk faaliyetleri için kullanmak üzere sabit disklerin gömülü yazılımlarına (firmware) bulaşma özelliği olan ve "fanny" olarak isimlendirilen bir zararlı yazılım geliştirmiş. Bu zararlı yazılımda kullanılan teknikler, stuxnet'te kullanılan tekniklerle büyük benzerlikler içeriyor. Zararlı yazılım, bulaşacağı bilgisayar doğrudan İnternet'e bağlı olmasa bile "Stuxnet LNK" diye adlandırılan bir açıklığı kullanarak USB bellek gibi medyalar üzerindende hedef bilgisayara bulaşabiliyor. İnternete bağlı olmayan bir bilgisayar bu yolla enfekte edildikten sonra o bilgisayara takılan USB bellek gibi medyaların daha sonra İnternet'e bağlanan bilgisayarlara takılması durumunda İnternet'e bağlantısı olmayan bilgisayardan bilgi sızdırılabilir hale geliyor.

Makale içerisinde zararlı yazılıma ilişkin bazı ilgi çekici bilgiler verilmiş:

  • Yazılımın içerisine İnternete bağlı olmayan bir bilgisayara bulaşmış zararlı yazılımın sonradan güncellenebilmesine imkan sağlayacak özellik eklenmiş.
  • Zararlı yazılım bulaşmış bir bilgisayara yeni (daha önce takılmamış) bir USB bellek takıldığında yaklaşık 1MB'lık bir dosya alanı veri sızdırması maksadıyla kullanılmak üzere gizli alan olarak ayrılıyor. Bu alandaki bilgiler dosya sistemi içerisinde görünmüyor. Aynı USB bellek İnternet'te kullanıldığında, bu alanın kapasitesi kullanılarak internete bağlı olmayan makinalardan internete bilgi sızdırılabiliyor.
  • Zararlı yazılım "Zlob" isimli zararlı yazılıma benzer hareketler yapmakta eğer bulaşacağı sistemde bir korunma mekanizması var ise "Zlob malware" olarak tespit edildiğinden uzmanlar tarafından daha fazla inceleme yapılmasına gerek kalmıyor. (Kaspersky ekibi tarafından geçmişte bu zararlı yazılıma gereken ilginin gösterilmemesinin gerekçesi olarak bu durum olarak değerlendirilmiş.)
  • Kaspersky zararlı yazılımın komuta sunucusunu ele geçirerek 5 aylık bir periyotta 11.200 tane tekil IP'nin bu zararlı yazılımdan etkilenmiş olduğu tespit etmiş.