İnternet güvenlik şirketi Kaspesrky Lab uzmanları, Flame gibi casusluk amaçlı kullanılan Mehdi adlı virüsün, Ortadoğu ülkelerinde şu ana kadar kritik altyapı şirketlerine ait 800’den fazla kişisel bilgisayarı etkilediğini belirtti. Medhi, e-mail, şifre, bilgisayar verileri ve bulaştığı bilgisayarın dahil ağdaki diyalogları takip etme özelliğine sahip.
Mehdi’nin yanı sıra Madi olarak da alandırılan virüsün, her ne kadar başta İran’ı hedef alan Flame’e benzerliği olduğu düşünülse de, çok daha amatör bir yazılım olduğu belirtildi. Güvenlik açıklarını ortaya çıkaran “ilk gün saldırıları” gerçekleştiremeyen Mehdi, basit kodlamalar içerdiği gibi, bulaştığı bilgisayarlardan veri çalabilmek için kullanıcıların hata yapmasını beklemek zorunda.
Flame virüsü ise dünyanın dört bir yanındaki güvenlik uzmanları tarafından bugüne kadar geliştirilen en iyi casus yazılım olarak tanımlanmış ve arkasında çok büyük devlet veya şirketlerin olması gerektiği ifade edilmişti.
Seculert güvenlik sitesi analistleri, “Flame ile Mehdi arasında doğrudan bağlantı bulamadıklarını, Mehdi’nin önemli altyapı tesislerini, finansal hizmetleri, devlet kurumlarını hedef aldığını” belirtti. Söz konusu hedeflerin İran, İsrail ve diğer Ortadoğu ülkelerinde bulunduğuna dikkat çeken site, “Mehdi’nin arkasında bir devletin olup olmadığı belli değil” yorumunda bulundu.
MEHDİ OPERASYONU SÜRÜYOR
Hacker’lar tarafından Aralık 2011’den bu yana kullanıldığı belirtilen virüsün, çeşitli makaleler, videolar ve dini içerikli görüntü ve belgeleri içeren e-mailler yoluyla yayıldığı belirtildi. E-maillere yükledikleri virüsü saklamak için, hacker’lar “Right to Left Override” adıyla bilinen tekniği kullandı. Bu teknikle bilgisayarlarda kullanılan kodlama sistemi Unicode ve Unicode içindeki dönüşüm biçimi UTF-8’de değişiklik yaparak, virüsü “.jpg” gibi dosya uzantıları halinde zararsız göstermeyi başardılar. Kullanıcıların e-mail içindeki video, fotoğraf ve diğer belgelere tıklamasıyla, virüs de bilgisayarlarına bulaşmış oldu.
Mehdi, klavyede girilen tuşları takip edebiliyor, ekrandan görüntü alabiliyor, Gmail, Hotmail, Yahoo! Mail, Skype veya ICQ’daki tüm alınan ve gönderilen e-mail ile mesajları kopyalayabiliyor.
Seculert tarafından incelenen bir Mehdi versiyonunun, Kanada’daki bir server’la bağlantı kurduğu tespit edildi. Güvenlik uzmanları, virüsün başka bir versiyonunun da aynı alan adını kullandığını, ancak iletişim kurduğu server’ın İran’ın başkenti Tahran’da bulunduğunu belirtti.
Uzmanlar, yaptıkları analizlerde, sekiz aylık süre içinde dört farklı server tarafından etkilenmiş 800’den fazla bilgisayar tespit etti. Virüs ve server arasındaki yazışmaların bazılarının Farsça olduğu ve yazılımdaki tarihlerin İran takvimine göre hazırlandığı görüldü.
Mehdi’nin etkilediği bilgisayarların 387’si İran’da yer alıyor. İsrail, Afganistan, Birleşik Arap Emirlikleri (BAE) ve Suudi Arabistan’da Mehdi tespit edilen bilgisayar sayısı ise sırasıyla 54, 14, 6 ve 4. Seculert, Mehdi’yi aylardan beri takip ettiklerini ve virüsün kullanıdlığı casusluk operasyonunun “devam ettiğini” ifade etti.
Devletleri ve kurumları hedef alan kötü amaçlı yazılımlar Haziran 2010’da Stuxnet ile gündeme oturmuş, Duqu ve Flame ile devam etmişti. Güvenlik uzmanları, bu yazılımların arkasında kimin olduğuna dair önemli ipuçları bulunsa da nihai delillere ulaşılamamasının kafakarışıklığına neden olduğunu belirtti.
Mehdi, “Müslümanlar tarafından ahir zamanda dünyaya geleceği ve dünyada İslam'ı hâkim kılacağına inanılan kişi” anlamına geliyor.
ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.