Fant nytt super-kybervåpen

- Langt mer avansert enn Stuxnet.

Flame beskrives som en av de mest avanserte kybervåpnene som hittil er funnet. Skadevaren skal både være en dataorm, en trojaner og en bakdør som tapper infiserte Windows-maskiner for informasjon.
Flame beskrives som en av de mest avanserte kybervåpnene som hittil er funnet. Skadevaren skal både være en dataorm, en trojaner og en bakdør som tapper infiserte Windows-maskiner for informasjon.
29. mai 2012 - 10:50

En ny og svært avansert dataorm døpt «Flame» er oppdaget. Ulike kilder omtaler den samme trusselen med navn som «Flamer» og «SkyWiper».

Angrepsvektoren er ennå ikke bekreftet, men målrettede angrep skal særlig ha rammet datamaskiner i Midtøsten, med flest infeksjoner i Iran.

Ingen antivirus skal ha vært i stand til å avdekke skadevaren, som ifølge ekspertene kan ha sirkulert i minst to år.

- Dette kan være det mest sofistikerte super-kybervåpenet som noen gang er funnet, skriver analysesjef i Kaspersky, Alexander Gostev i et blogginnlegg.

Flame oppgis å dele enkelte trekk med Stuxnet-ormen, som for et par år siden ødela Irans sentrifuger for anriking av uran ved atomanlegget i Natanz. Kodebasen skal imidlertid være annerledes.

Etterforskningen så langt viser at Flame er i stand til å spionere på mange ulike måter, både ved å sniffe nettverkstrafikk, ta skjermbilder, overvåke tastaturet og avlytte mikrofoner på infiserte systemer. Stjålne data og opptak blir jevnlig sendt over krypterte SSL-forbindelser til ulike kommandoservere. Funksjonaliteten kan også utvides med moduler.

- Det er en bakdør, en trojaner, og den har orm-lignende egenskaper. Blant annet kan den spre seg i lokalnettet og via minnepinner – hvis de som står bak velger det, forteller Gostev, som betegner skadevaren som «langt mer avansert enn Stuxnet».

Ifølge analysesjefen har de funnet nærmere 20 moduler, som kan lastes inn på infiserte datamaskiner for å utvide bruksområdet.

- Hva de fleste av modulene gjør er fremdeles noe vi etterforsker, fortsetter han.

Konkurrenten Symantec melder at enkelte filnavn setter Flame i sammenheng med «en episode som involverer det iranske oljedepartementet».

- Basert på antallet infiserte maskiner, befinner hovedmålene for denne trusselen seg på Vestbredden, Ungarn, Iran og Libanon. Men vi har også rapporter om infeksjoner i Østerrike, Russland, Hongkong og De forente arabiske emirater. De siste rapportene kan imidlertid representere maskiner som midlertidig er flyttet til andre regioner, for eksempel bærbare pc-er, skriver Symantec i et blogginnlegg.

De mener dessuten at mange av de kompromitterte enhetene ser ut til å være datamaskiner brukt fra nettforbindelser tilknyttet private hjem.

Et oppsiktsvekkede trekk ved Flame er dens relativt store filstørrelse på hele 20 megabyte. Det er langt mer enn Stuxnet, som med sine 500 kilobyte allerede var regnet som stor av virusjegere.

Årsaken er blant annet at Flame inneholder en rekke biblioteker, deriblant for filkomprimering (zlib, libbz2, ppmd), databasegrensesnitt (sqllite3), samt en virtuell maskin for scriptspråket LUA.

- Bruk av LUA innen skadevare er uvanlig. Det samme gjelder den store filstørrelsen. Moderne skadevare består normalt av små filer, utviklet med kompakte programmeringsspråk, som gjør koden enkel å skjule. Å skjule skadevaren i store mengder kode er en av de særskilte nye egenskapene med Flame, skriver Kaspersky Labs.

Ifølge antivirusselskapet brukte de mange måneder på å analysere Stuxnet. Å fullt ut avdekke hemmelighetene til Flame vil kunne ta ett år, anslår de.

Kaspersky spekulerer i om samme utviklingsmiljø kan stå bak begge to, eventuelt i et parallelt utviklingsløp, men ender opp med en teori om at Flame og Stuxnet/Duqu antakelig er skapt av ulike grupperinger. Fra før er det en bred oppfatning om at det var USA og Israel i fellesskap som sto bak Stuxnet.

Også det nasjonale iranske CERT-organet (Computer Emergency Response Team) Maher center la mandag ut opplysninger om den samme skadevaren, som de omtaler som «Flamer».

- Ingen av 43 testede antivirusverktøy er i skrivende stund i stand til å oppdage noen av dens komponenter, opplyser de.

Organet oppgir at de selv har utviklet egne verktøy som både fanger opp infeksjoner og renser vekk skadevaren, og at de har distribuert disse til utvalgte organisasjoner og selskaper fra begynnelsen av mai måned.

- Vi har feilet

- Det verste med Flame? At skadevaren har spredd seg ubemerket i årevis. Stuxnet, Duqu og Flame er alle eksempler der vi - antivirus-bransjen - har feilet fullstendig, skriver den anerkjente finske sikkerhetseksperten Mikko Hypponen, som er sjefsforsker i F-Secure i et innlegg.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.