Ünlü antivirüs yazılımı firması Kaspersky Labsın raporlarına göre, veri karmaşıklığı yapısı ile rakiplerinden çok farklı olan bu casus yazılım birden çok komut ve dosyayı aynı anda gönderebiliyor. Casus yazılıma verilen isim ise Red October (Kızıl Ekim)in kısaltması olan Rocra.
Kaspersky Labsdan ismini vermek istemeyen bir yetkili, yazılımı ilk olarak Ekim 2012 tarihinde keşfettiklerini belirterek, casus yazılımın kendini koruyabildiğini de açıkladı.
Firma, Amerika, Romanya ve Belarus CERTle işbirliği içinde Kasım 2012den itibaren casus yazılımı izleme için çalışmalara başladıklarını bildirdi. 10 Ocak 2013 tarihinde de bu saldırıları incelemek için oluşturulan havuzda 55 binden fazla bağlantı kaydedilerek 250 farklı IP adresi bulduklarını da sözlerine ekledi.
Casus yazılım 35 bilgisayarla en fazla Rusyada görüldü. Onu takiben de Kazakistan da 21, Azerbaycanda 15, Belçikada 15 ve Hindistanda da 14 tane görüldü. Raporlara göre en çok Doğu Avrupada görünse de, Kuzey Amerika ve Batı Avrupa ülkelerinde de zaman zaman tespit edildiği açıklandı.
Casus yazılım en çok, Hükümet, araştırma kurumları, ticari firmalar, nükleer araştırmacıları, petrol ve gaz firmaları ve havacılık gibi sektörleri hedeflediği belirlendi.
Bu arasa Kaspersky Lab, araştırmalar sırasında casus yazılımın binden fazla modülünün bulunduğunun tespit edildiğini, yazılım bilgisayara bulaştıktan sonra bir kez çalıştırıldıktan sonra silindiğini ama bazı modüllerin aktif olması için bir akıllı telefondan sinyal gönderildiğini tespit ettiklerini açıkladı.
Bulunan modüller arasında, dosya kopyalama, usb diskleri okuma, web kameradan resim çekme, klavye girişlerini kaydetme gibi özellikleri var.
Araştırmalarda saldırganlar tarafından kullanılan 60 kadar internet adresi tespit edildi, bu adresler çoğunlukla Rusya ve Almanyada görünüyor. Ancak sanal sunucular kullanıldığından dolayı tam yerini bulmak zorlaşıyor.
Saldırganlar tarafından belgelerin bazıları acidcsa ve acidsca dosya uzantılarına sahip. Kasperskyye göre bu uzantılar NATO ve Avrupa Birliği tarafından kullanılan gizli yazılım ’Acid Cryptofilerı ifade etmek için görünüyor.
Peki kim yaptı bunu? Kasperskyye göre Rus yapımı gibi görünen yazılımın aslında Çinli hackerlar tarafından yapıldı.
Çin ve Rusya bağlantılarına rağmen, bunun bir ulus-devlet saldırısı olmadığı savunuldu.
Fakat araştırmacılara göre Saldırganlar tarafından çalınan belgeler üst düzey belgelerdir ve devletler tarafından kullanılabilecek jeopolitik verileri içermektedir. Bu tür bilgilere sahip olanlar en fazla parayı verene bunları satarlar.