Istraživači prepoznaju Stuxnet-poput Cyberespionage zlonamjernog softvera zvan 'Flame'

Nova, visoko sofisticirana prijetnja zlonamjernom softveru koja je pretežno korištena u napadima na špijunažu na ciljeve na Bliskom Istoku identificirana je i analizirana od strane istraživača iz nekoliko sigurnosnih tvrtki i organizacija. Prema iranskom računalnom timu za hitne intervencije (MAHER), novi zlonamjerni program zove se Flamer i može biti odgovoran za nedavne izgubljene gubitke podataka u Iranu. Također postoje razlozi za vjerovanje da je zlonamjerni softver povezan s prijetnjama Stuxnet i Duqu cyberespionage, priopćila je organizacija u ponedjeljak.

Istraživači malwarea iz antivirusne tvrtke Kaspersky Lab također su analizirali zlonamjerni softver i otkrili da, iako je sličan Stuxnetu i Duqu u smislu zemljopisnog širenja i ciljanja, ima različite značajke i na mnogo je načina složeniji od obje prijetnje.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Plamena , kako to nazivaju Kaspersky istraživači, vrlo je veliki alat za napade s mnogim pojedinačnim modulima. Može izvesti razne zlonamjerne akcije, od kojih se većina odnosi na krađe podataka i internetsku špijunažu.

Među ostalim, može koristiti mikrofon računala za snimanje razgovora, snimanje zaslona pojedinih aplikacija tijekom upotrebe, snimanje tipki,

Jedna od prvih verzija alata vjerojatno je nastala u 2010., a funkcionalnost je kasnije proširena iskorištavanjem njegove modularne arhitekture, rekao je Vitaly Kamluk, glavni stručnjak za zlonamjerne programe

Plamen je puno veći od oba Duqu i Stuxnet, koji su na veličini od oko 500 KB bili već veliki stručnjaci za sigurnost. Veličina svih komponenti plamena u kombinaciji povećava se za više od 20 MB i jednu datoteku u pojedinim mjerama iznad 6 MB, rekao je Kamluk.

Još jedan zanimljiv aspekt prijetnje je da su neki dijelovi Flame napisani u LUA, programskom jeziku koji je visoko neuobičajeno za razvoj zlonamjernog softvera. LUA se često koristi u industriji računalnih igara, ali Kaspersky Lab nije vidio nikakve uzorke zlonamjernog softvera prije Flamea koji su pisani na jeziku, rekao je Kamluk.

Plamen se širi na druga računala kopirajući se na prijenosne USB uređaje i također iskorištavajući ranjivost Microsoft Windows pisača koji je sada zakrpao, a koji je također iskoristio Stuxnet.

Kasperskyovi istraživači nisu pronašli nikakve dokaze o nepoznatoj (0-danoj) ranjivosti koja se iskorištava ovim zlonamjernim softverom, ali poznato je da je Flame zaražen potpuno zapečatiti Windows 7 računalo, pa oni ne isključuju mogućnost, rekli su Kamluk.

Kada zarazite računala koja su zaštićena protuvirusnim programima, Flame izbjegava izvršavanje određenih radnji ili izvršavanje zlonamjernog koda koji bi mogao pokrenuti proaktivnu detekciju od tih sigurnosne aplikacije. Ovo je jedan od razloga zašto je zlonamjerni softver tako dugo letio pod radarom, rekao je Kamluk.

Identificirane infekcije

Kaspersky Lab je uspio identificirati trenutne i prošle plamene infekcije na Bliskom Istoku i Africi, pretežno u zemljama kao što su Iran, Izrael, Sudan, Sirija, Libanon, Saudijska Arabija i Egipat.

Međutim, protuvirusni distributer Symantec također je identificirao prošle infekcije u Mađarskoj, Austriji, Rusiji, Hong Kongu i Ujedinjeni Arapski Emirati. Tvrtka ne odbacuje mogućnost da su ta infektivna izvješća potekla od prijenosnika koji su privremeno prevezeni od strane putnika u inozemstvo.

Teško je reći kakvu vrstu informacija pišu autori plamena, dajući širok raspon podataka koje zlonamjerni softver može ukrasti i šalje natrag u naredbu i kontrolu poslužitelja. Odlučivanje o tome koje od malwareovih modula i funkcionalnosti za uporabu vjerojatno izvode napadači za svaki pojedini cilj, izjavio je Kamluk.

Čini se da ciljanim organizacijama ne prate obrasce specifične za pojedinu industriju. Malware je zaraženo računalima koji pripadaju vladinim agencijama, obrazovnim ustanovama i trgovačkim tvrtkama, kao i računalima u vlasništvu privatnih osoba.

Kao i kod Duqu i Stuxnet, nije jasno tko je stvorio plamen. Međutim, složenost zlonamjernih programa i količina resursa potrebnih za izgradnju takvog čina doveli su sigurnosne istraživače da vjeruju da je stvorena ili sponzorirana od strane nacionalne države.

Kasperskyovi istraživači nisu pronašli nikakve dokaze koji bi mogli povezati zlonamjerni softver s određene zemlje ili čak regije. Međutim, postoji neki tekst koji je napisan na engleskom jeziku, rekao je Kamluk.

"Ispitivanje koda također dovodi Symanteku da vjeruje da je zlonamjerni softver razvijen od strane nativnog engleskog jezika razvijatelja", rekao je glasnogovornik Symantea putem e-pošte. "Nije bilo dodatnih opažanja koja bi mogle pomoći u otkrivanju podrijetla zlonamjernog softvera."

Istraživači iz Laboratorija za kriptografiju i sigurnost sustava (CrySyS) na Budimpeštanskom sveučilištu za tehnologiju i ekonomiju, koji su odigrali važnu ulogu u otkrića i analize Duqua, također su objavili izvješće o zlonamjernom softveru Flame koji nazivaju "sKyWIper".

Rezultati naših tehničkih analiza podupiru hipoteze da je sKyWIper razvio vladina agencija nacionalne države s značajnim proračun i trud, a može se odnositi i na aktivnosti cyber-ratovanja ", rekli su istražitelji CrySyS-a u svom izvješću. "sKyWIper je zasigurno najsofisticiraniji zlonamjerni softver koji smo naišli tijekom naše prakse, vjerojatno je najkompleksniji zlonamjerni softver ikad pronađen."