Bir ulus devlet aktörü tarafından şimdiye kadar geliştirilen en gelişmiş kötü amaçlı yazılım ailesi olarak kabul edilen Regin, NSA tarafından geliştirildi ve Five Eyes ortaklarından bazılarıyla (özellikle GCHQ ile) paylaşıldı. Varlığı öyleydi 2014 yılında kamuya açıklandıancak en eski örnekler 2011 yılına dayanıyor ve kötü amaçlı yazılımın 2003 gibi erken bir tarihte oluşturulduğuna dair bazı şüpheler var.
Regin'in vahşi doğada konuşlandırıldığı bilinen durumlar arasında şunlar yer almaktadır: Belçikalı telekomünikasyon şirketi Belgacom, Alman hükümetine karşıve en son vaka, Rus arama devi Yandex.
Teknik düzeyde, güvenlik araştırmacıları Regin'i bugüne kadarki en gelişmiş kötü amaçlı yazılım çerçevesi olarak görüyorlar. Çoğu gözetim operasyonları etrafında tasarlanmış ve virüs bulaşmış cihazlarda tespit edilemeyen onlarca özellik için modüller ev sahipliği yapıyor.
2012 yılında keşfedildiğinde güvenlik araştırmacıları Flame'i tanımlamak için tam olarak "kötü amaçlı yazılım" terimini kullanmadılar. O zamanlar Alev o kadar ilerlemişti ki "
saldırı araç seti" ağabeyi Regin'e biraz benzeyen yapısını anlatmak için.Daha önce de belirtildiği gibi Flame, Flame çerçevesinin üzerinde çalışan ve operatörlerin ihtiyaç duyduğu özelliklere göre dağıtılan bir modüller koleksiyonudur.
2012 yılında İran Ulusal CERT'in MAHER Merkezi tarafından ülkenin devlet kurumlarına yönelik saldırılarda keşfedildi. Keşif, Stuxnet kötü amaçlı yazılım saldırılarından iki yıl sonra gerçekleşti ve hızla ABD NSA'nın kod adı olan Equation Group ile ilişkilendirildi. Daha sonra diğer Orta Doğu hükümetlerine yönelik saldırılarda da keşfedildi. Şu anda, Flame'in Wikipedia sayfası Alevle ilgili tüm keşiflerin en iyi özetini içerir.
Stuxnet bu listedeki tek kötü amaçlı yazılımdır kendi belgesel filmi.
Kötü amaçlı yazılım, 2000'li yıllarda ABD NSA ile İsrail ordusunun siber bölümü olan İsrail Birimi 8200'ün ortak çabasıyla geliştirildi. İki ülke arasında İran'ın nükleer programını sabote etmeye yönelik ortak çabanın bir parçası olarak 2010 yılında İran'da konuşlandırıldı.
Piyasaya sürüldüğü dönemde dört farklı sıfır gün kullandığı söylenen Stuxnet, endüstriyel kontrol sistemlerini hedef alacak şekilde özel olarak kodlanmıştı. Rolü, titreşimleri tetiklemek ve makineleri tahrip etmek amacıyla rotor hızlarını yükselterek ve azaltarak nükleer zenginleştirme operasyonlarında kullanılan santrifüjlerin ayarlarını değiştirmekti.
Kötü amaçlı yazılımın başarılı olduğu ve 200.000'den fazla bilgisayara bulaştığı ve sonunda İran'ın Natanz nükleer tesisindeki yaklaşık 1.000 santrifüjü yok ettiği söyleniyor.
Bu listedeki ABD dışında geliştirilen kötü amaçlı yazılımların ilki, İran devlet korsanları tarafından geliştirilen bir kötü amaçlı yazılım türü olan Shamoon'dur. Oldu ilk kez 2012'de konuşlandırıldı Suudi Arabistan'ın en büyük petrol üreticisi Saudi Aramco'nun ağında. Bir veri temizleyici olan kötü amaçlı yazılım, 2012 saldırısında 30.000'den fazla bilgisayarı yok etti.
Şurada konuşlandırıldı: 2016'da ikinci saldırı, aynı hedefe karşı. Son zamanlarda konuşlandırıldı İtalyan petrol ve gaz yüklenicisi Saipem'e karşı, iddiaya göre şirketin bilgisayar filosunun %10'unu yok etti.
Bu listeye daha yeni eklenenlerden biri de Triton'dur (Trisis olarak da bilinir). Bu kötü amaçlı yazılımın Rus araştırma laboratuvarı tarafından geliştirildi.
2017 yılında devreye alındı. Oldu özel olarak tasarlanmış Schneider Electric'in Triconex Güvenlik Enstrümanlı Sistemi (SIS) kontrolörleriyle etkileşime geçmek için. Teknik raporlara göre AteşGözü, Dragos, Ve SymantecTriton, bir üretim sürecini kapatmak veya TriconSIS kontrollü makinelerin güvenli olmayan bir durumda çalışmasına izin vermek için tasarlandı. Kötü amaçlı yazılımın kodu sızdırıldı ve sonunda GitHub'da yayınlandı.
Industroyer kötü amaçlı yazılımıCrashoverride olarak da bilinen, Rus devlet korsanları tarafından geliştirilen ve Aralık 2016'da Ukrayna'nın elektrik şebekesine yönelik siber saldırılarda kullanılan bir kötü amaçlı yazılım çerçevesidir.
Saldırı başarılı oldu ve Ukrayna'nın başkenti Kiev'in bir kısmının elektriği bir saatliğine kesildi. Kötü amaçlı yazılımın, Ukrayna'nın elektrik şebekesine yönelik saldırılarda da kullanılan Havex ve BlackEnergy gibi önceki türlerin bir evrimi olduğu düşünülüyor. Ancak farklı olarak Havex Ve SiyahEnerjiBunlar daha çok endüstriyel sistemleri yöneten sistemlere karşı kullanılan genel Windows kötü amaçlı yazılımlarına benziyordu, Sanayici Siemens enerji nakil hatları şebekesi ekipmanlarıyla etkileşime geçmek üzere özel olarak tasarlanmış bileşenler içeriyordu.
İsrail'in meşhur Birim 8200 askeri siber biriminin ürünü olduğuna inanılıyor. Duqu 2011 yılında Macar güvenlik araştırmacıları tarafından keşfedildi. 2015 yılında ikinci bir versiyon keşfedildi ve kod adı verildi. Duqu 2.0.
İlk sürüm Stuxnet saldırılarına yardımcı olmak için kullanılırken, ikincisi Rus antivirüs firması Kaspersky Lab'in ağını tehlikeye atmak için kullanıldı. Duqu 2.0 da bulundu Avusturya ve İsviçre'deki otellerdeki bilgisayarlar ABD/AB ile İran arasında nükleer programı ve ekonomik yaptırımlara ilişkin uluslararası müzakerelerin yapıldığı yer.
FişX İlk kez 2012 yılında Çinli ulus-devlet bilgisayar korsanlarının gerçekleştirdiği saldırılarda görülen bir uzaktan erişim truva atıdır (RAT). Keşfedilmesinden bu yana, Çinli bilgisayar korsanlarının kötü amaçlı yazılımı birbirleriyle paylaştığı görülüyor. Çoğu Çin ulus-devlet grubu tarafından yaygın olarak kullanılıyor, bu da bir gruba inanılmaz derecede atıf yapıyor zor. A PlugX hakkında iyi teknik rapor burada mevcut.
Uroburos, Rus hükümetine bağlı, dünyanın en gelişmiş ulus-devlet hacker gruplarından biri olan kötü şöhretli Turla grubu tarafından geliştirilen rootkit'ti.
Buna göre bir G DATA raporu, "rootkit virüs bulaşmış bir makinenin kontrolünü ele geçirebilir, rastgele komutlar yürütebilir ve sistem etkinliklerini gizleyebilir."
Uroburos (Turla veya Yılan rootkiti olarak da anılır) geniş çapta konuşlandırılmıştı ve çok etkiliydi. sınırlı bir amaç için kullanılıyordu: önyükleme kalıcılığı kazanmak ve diğer kötü amaçlı yazılım türlerini indirmek.
Bu, Turla APT saldırılarının merkezi parçasıydı ve virüslü bilgisayarlarda görülüyordu Avrupa'da, ABD'de ve Orta Doğu'da2008 gibi erken bir tarihte. Hedefler genellikle devlet kurumlarını içeriyordu. 45 ülkede görüldü. Bir Linux çeşidi 2014 yılında da keşfedildi.
Bir zamanlar bir grup tarafından kullanılan, ancak daha sonra başkaları tarafından paylaşılıp yeniden kullanılan bir başka Çin kötü amaçlı yazılım parçası.
İlk kez 2013'te fark edilen ICEFOG, son iki yılda yeni varyantlarla ve hatta Mac sürümüyle geri dönüş yaptı. Bu konu hakkında daha fazla bilgiyi son haberimizde bulabilirsiniz.
Bu listedeki tek mobil kötü amaçlı yazılım olan WARRIOR PRIDE, ABD'nin NSA'sı ve İngiltere'nin GCHQ'su tarafından ortaklaşa geliştirilen bir araçtır. Hem Android hem de iPhone'larda çalışıyor ve varlığına dair haberler 2014'te geldi. Snowden sızıntıları sırasında.
Yeteneklere gelince, iPhone modeli Android versiyonundan çok daha gelişmişti. Virüs bulaşmış ana bilgisayarlardan herhangi bir içeriği alabiliyor, mikrofonu sessizce etkinleştirerek yakındaki konuşmaları dinleyebiliyor ve telefon uyku modundayken bile çalışabiliyor.
Olimpiyat Destroyer kötü amaçlı yazılımı Pyeongchang 2018 Kış Olimpiyatları açılış töreni sırasında internet bağlantılarını sekteye uğratan bir saldırıda kullanıldı. Saldırıdan en çok etkilenenler televizyon kanalları ve gazeteciler oldu.
Kötü amaçlı yazılımın Rus bilgisayar korsanları tarafından oluşturulduğu ve Uluslararası Olimpiyat Komitesi'ne intikam olarak kullanıldığı iddia ediliyor. Rus atletlerin doping suçlamasıyla Kış Olimpiyatları'ndan men edilmesi veya bazılarının Rusya Federasyonu bünyesinde yarışmasının yasaklanması bayrak.
Kötü amaçlı yazılımın kendisi uygulama şifrelerini virüs bulaşmış sistemlere bırakan bir bilgi hırsızıydı ve bilgisayar korsanları daha sonra bu şifreleri şifrelerini iletmek için kullandılar. diğer sistemlere erişim sağladılar ve buradan daha sonra bazı sunucuları çökerten bir veri silme saldırısını tetiklediler ve yönlendiriciler. Yeni Olimpiyat Destroyer versiyonları İlk saldırılardan aylar sonra, Haziran 2018'de tespit edildi.
Bu listede yönlendiricilere bulaşmak için oluşturulan, APT tarafından geliştirilen tek kötü amaçlı yazılım: VPNFiltre. Rus devlet korsanları tarafından geliştirilen kötü amaçlı yazılım, 2018'den önce dağıtılmıştı. Şampiyonlar Ligi finali Ukrayna'nın Kiev kentinde yapılıyordu.
Planların, canlı finalin canlı yayınları sırasında kötü amaçlı yazılımı dağıtmak ve yönlendiricilere zarar vermek olduğu düşünülüyordu. Pyeongchang 2018 Kış Olimpiyatları'nın açılış töreninde, Olimpiyat Destroyer zararlı yazılımı internet bağlantılarını sekteye uğratmak için kullanıldı. Olimpiyatlar.
Neyse ki, güvenlik araştırmacıları Cisco Talos, VPNFilter botnet'inin birleştirildiğini gördü, Ve FBI'ın yardımıyla onu kaldırdık. FBI'a göre kötü amaçlı yazılımın Fancy Bear APT tarafından oluşturulduğu iddia ediliyor.
2017'deki üç fidye yazılımı salgınının tümü, farklı nedenlerle de olsa, ulus devlet korsanları tarafından geliştirilen kötü amaçlı yazılım türleriydi.
Bunlardan ilki, WannaCry fidye yazılımı, öyleydi Kuzey Kore devlet korsanları tarafından geliştirildiSadece mağdurlara virüs bulaştırmak ve o dönemde ağır ekonomik yaptırımlar altında olan Pyongyang rejimi için fidye toplamak amacıyla. Bu yaptırımların etkisini hafifletmek amacıyla rejim, bankaları soymak, kripto para madenciliği yapmak veya para toplamak amacıyla fidye yazılımı operasyonları yürütmek için devlet korsanlarını kullanıyordu.
Ancak WannaCry kodundaki hatalar, fidye yazılımının yalnızca yerel ağlara yayılmak yerine, Kendi kendini kopyalayan dahili (solucan) bileşen kontrolden çıktı ve görünürdeki her şeye bulaşarak küresel bir salgına neden oldu. salgın.
WannaCry'dan iki ay sonra ikinci bir fidye yazılımı salgını dünyaya çarptı. İsminde Petya değil, bu fidye yazılımı Rusya'nın Fancy Bear (APT28) grubu tarafından kodlanmıştırve başlangıçta yalnızca Ukrayna'da konuşlandırıldı.
Ancak paylaşılan ağlar ve kurumsal VPN'ler nedeniyle fidye yazılımı, WannaCry'ye benzer şekilde dünya çapında yayıldı ve milyarlarca dolarlık zarara neden oldu. Tıpkı WannaCry gibi NotPetya da EternalBlue açığını solucan bileşeninin merkezi parçası olarak kullandı. (EternalBlue hakkında daha fazla bilgi için son slayta bakın)
2017 yılının son küresel fidye yazılımı salgını da devlet korsanlarının işiydi. Tıpkı NotPetya gibi, Kötü Tavşan öyleydi Rus hackerların işiBenzer şekilde Ukrayna'da da dağıtan fidye yazılımı, ilk ikisi olan WannaCry ve NotPetya ile karşılaştırıldığında daha küçük bir etkiye sahip olsa da dünya çapında yayıldı.
NotPetya'nın aksine, birincil yayılma mekanizması olarak EternalBlue'yu kullanmıyordu ve ayrıca birçok Game of Thrones referansı içeriyordu.
EnternalBlue, kelimenin klasik anlamıyla, daha çok bir istismar niteliğindeki kötü amaçlı yazılım olmayabilir, ancak yine de bir ulus devlet kuruluşu tarafından geliştirildi ve bu listeye uyması gerekiyor. NSA tarafından oluşturuldu ve Nisan 2017'de halka açıldıThe Shadow Brokers olarak bilinen bir grup gizemli bilgisayar korsanı, kodu çevrimiçi olarak yayınladığında.
Piyasaya sürülmesinin ardından ilk olarak kripto para madenciliği kampanyalarında kullanıldı, ancak gerçekten yaygın olarak bilinen ve 2017'deki üç fidye yazılımı salgınının (WannaCry, NetPetya, ve Kötü Tavşan.
O zamandan beri, EternalBlue ölmeyi reddetti ve her türden siber suç operasyonu tarafından yaygın olarak kullanılmaktadır ve herkes bunu bir mekanizma olarak kullanmaktadır. Windows'ta yanlış yapılandırılmış SMBv1 istemcilerinden yararlanarak güvenliği ihlal edilmiş ağlardaki diğer sistemlere yayılıyor bilgisayarlar.