Πίσω από το ‘Flame’ κακόβουλο λογισμικό που κατασκοπεύει τους υπολογιστές της Μ. Ανατολής (FAQ)
Με πιθανούς δεσμούς στο κακόβουλο λογισμικό που στοχεύει στο Ιράν, το λογισμικό κατασκόπευσης ‘Flame’ θεωρείται ως η πιο πρόσφατη προσπάθεια κυβερνοκατασκοπείας από ένα εθνικό κράτος.
της Elinor Mills | May 30, 2012 2:40 PM PDT
Το νέο κακόβουλο λογισμικό ‘Flame’ που έχει μολύνει τους υπολογιστές στο Ιράν και τη Μέση Ανατολή ονομάστηκε έτσι σύμφωνα από μια από τις κύριες ενότητες που χρησιμοποιεί για να πολλαπλασιαστεί. (Securelist)
Το σκουλήκι ‘Flame’ που στόχευσε τους υπολογιστές στη Μέση Ανατολή αποκαλείται το “περιπλοκότερο κυβερνοόπλο που έχει εξαπολυθεί μέχρι στιγμής” από τους ερευνητές του Kaspersky Lab που το ανακάλυψαν.
Παραμόνευε στους υπολογιστές για τουλάχιστον πέντε έτη, το κακόβουλο λογισμικό έχει τη δυνατότητα να υποκλέψει δεδομένα, να κρυφακούσει σε συνομιλίες, και να πάρει στιγμιότυπα απεικόνισης οθόνης στιγμιαίων ανταλλαγών μηνυμάτων, που το καθιστούν επικίνδυνο σε οποιοδήποτε θύμα. Αλλά μια πιθανή σύνδεση με το κακόβουλο λογισμικό που βρέθηκε στους υπολογιστές στον τομέα του πετρελαίου του Ιράν κάνει τους εμπειρογνώμονες να λένε ότι πρέπει να είναι η εργασία ενός εθνικού κράτους.
Το CNET μίλησε με τον Roel Schouwenberg, ανώτερο ερευνητή στην Kaspersky, την επιχείρηση που αποκάλυψε το κακόβουλο λογισμικό, για να ανακαλύψει ποιος είναι από πίσω του και πόσο επικίνδυνο είναι πραγματικά.
Τι είναι το Flame;
το Flame είναι ένα περίπλοκο κουτί εργαλείων επίθεσης που αφήνουν μια κερκόπορτα, ή ένα Τρόγιαν (Δούρειο ίππο), στους υπολογιστές και μπορεί να διαδοθεί μέσω ενός τοπικού δικτύου, όπως ένα σκουλήκι υπολογιστή. Το εργαστήριο Kaspersky υποψιάζεται ότι μπορεί να χρησιμοποιεί μια κρίσιμη ευπάθεια των Windows, αλλά αυτό δεν έχει επιβεβαιωθεί, σύμφωνα με ανάρτηση σε ένα Kaspersky blog.
Το Flame μπορεί να “μυρίσει” κυκλοφορία δικτύων, να πάρει στιγμιότυπα οθόνης, να καταγράψει ηχητικές συνομιλίες, καταγραφές πληκτρολογήσεων και να συγκεντρώσει πληροφορίες για τις ανακαλύψιμες συσκευές Bluetooth τριγύρω και να μετατρέψει το μολυσμένο υπολογιστή σε ανακαλύψιμη συσκευή Bluetooth. Οι επιτιθέμενοι μπορούν να μεταφορτώσουν πρόσθετες ενότητες για την περαιτέρω λειτουργικότητα. Υπάρχουν περίπου 20 ενότητες που έχουν ανακαλυφθεί και οι ερευνητές εξετάζουν τι είναι αυτό που κάνουν.
Η συσκευασία των ενοτήτων περιλαμβάνει σχεδόν 20 μεγαμπάιτ, πάνω από 3.000 γραμμές κώδικα, και περιλαμβάνει βιβλιοθήκες για συμπίεση, χειρισμό βάσεων δεδομένων, πολλαπλές μεθόδους κρυπτογράφησης, και δέσμη ενεργειών. Το κακόβουλο λογισμικό ονομάσθηκε έτσι από μια από τις κύριες ενότητες που είναι αρμόδια για την επίθεση και τη μόλυνση πρόσθετων υπολογιστών.
Υπάρχει κυκλοφορία πολλαπλών εκδόσεων, οι οποίες επικοινωνούν με τουλάχιστον 80 διαφορετικούς κεντρικούς υπολογιστές εντολών και ελέγχου. Το Kaspersky έχει μια ενημερωμένη τεχνική ανάλυση εδώ και η ανάρτηση του τεχνικού blog McAfee’s είναι εδώ. Αυτή η αναφορά σχετικά με το κακόβουλο λογισμικό, από το εργαστήριο της κρυπτογραφίας και ασφάλειας συστημάτων (εργαστήριο CrySyS Lab) στο πανεπιστήμιο τεχνολογίας και οικονομικών της Βουδαπέστης, αναφέρεται στην απειλή ως “sKyWIper.”
“Το Flame είναι πολύ μορφωματικό. Βασικά ένας στόχος θα μολυνθεί με το κύριο συστατικό και έπειτα οι επιτιθέμενοι θα μεταφορτώσουν μόνο ενότητες στο στόχο όπως τους βολεύει,” είπε ο Schouwenberg. “Υποθέτουμε ότι δεν έχουμε όλες τις ενότητες που υπάρχουν στο περιβάλλον.”
Πώς μεταδίδεται;
Το Flame μεταδίδεται μέσα σε ένα δίκτυο μέσω ενός USB στίκ, κοινόχρηστο δίκτυο, ή μιας ευπάθειας της ουράς κοινόχρηστου εκτυπωτή, αλλά μεταδίδεται μόνο όταν καθοδηγείται για να κάνει έτσι από τους επιτιθεμένους. Είναι ασαφές ποιο είναι το αρχικό σημείο εισόδου. “Αναμένουμε να βρούμε ένα ηλεκτρονικό ταχυδρομείο με δόρυ phishing με Zero-Day exploit,” είπε ο Schouwenberg.
Πόσο καιρό υπάρχει γύρω το Flame;
“Έχουμε την πρώτη επιβεβαιωμένη αναφορά του Flame στο περιβάλλον για το 2010, αλλά υπάρχουν έμμεσες αποδείξεις που χρονολογούνται από το 2007 και μερικοί σκέπτονται ότι μπορεί να πηγαίνουν ακόμα πιο πίσω από αυτό,” είπε ο Schouwenberg. Οι ερευνητές του Kaspersky Lab ανακάλυψαν το κακόβουλο λογισμικό αρκετές εβδομάδες πριν αφού είχαν ρωτηθεί από τη διεθνή ένωση τηλεπικοινωνιών της United National για βοήθεια στην αποκάλυψη του κακόβουλου λογισμικού βαφτισμένου “Wiper” (σβήστης) που έκλεβε και διέγραφε ευαίσθητες πληροφορίες στους υπολογιστές στον τομέα του πετρελαίου του Ιράν.
Πώς το Flame σχετίζεται με το Wiper;
Το “Wiper θα μπορούσε να είναι μια ενότητα του Flame που μεταφορτώνεται στη μηχανή στόχο όταν οι επιτιθέμενοι θέλουν να σβήσουν τα δεδομένα από τον υπολογιστή. Δεν υπάρχει κανένα στοιχείο για να συνδεθούν τα δύο, αλλά ο χρονισμός είναι συμπτωματικός, είπε ο Schouwenberg. “Έτσι, έχουμε ένα ανοικτό μυαλό στο Wiper που είναι μια σύνδεση του Flame.”
Η Εθνική ομάδα απάντησης έκτακτης ανάγκης υπολογιστών του Ιράν (CERT), που καλείται “Maher,” είπε ότι λογισμικό για να ανιχνεύσει το Flame εστάλη στις επιχειρήσεις σε εκείνη την χώρα στην αρχή του Μαΐου και ένα εργαλείο αφαίρεσης είναι έτοιμο τώρα. Τα πρόσφατα γεγονότα απώλειας μαζικών δεδομένων στο Ιράν “θα μπορούσαν να είναι η έκβαση κάποιας εγκατεστημένης ενότητας αυτής της απειλής,” είπε το κέντρο, εικάζοντας ότι οι επιθέσεις στις οποίες τα στοιχεία από τους υπολογιστές επιχείρησης αερίου του Ιράν μπορεί να είχαν συνδεθεί με το Flame . Αξιωματούχοι του Ιράν υποπτεύονται ότι το Wiper και το Flame συνδέονται με κάποιο τρόπο, αναφέρει το Associated Press.
Γιατί δεν ανακαλύφθηκε το Flame νωρίτερα;
Αυτός που δημιούργησε το Flame κατέβαλε ακραίες προσπάθειες να γραφτεί ο κώδικας έτσι ώστε να αποφεύγει την ανίχνευση για όσο το δυνατό περισσότερο. “Σαφώς είναι ένα άλλο πρόγραμμα πολλών εκατομμυρίων δολλαρίων με κυβερνητική χρηματοδότηση, έτσι ώστε μια από τις κορυφαίες προτεραιότητες να είναι η μυστικότητα,” είπε ο Schouwenberg. Ενώ μια πιο πρόσφατη παραλλαγή του Stuxnet ανιχνεύθηκε επειδή πολλαπλασιαζόταν επιθετικά, το Flame μεταδίδεται μόνο αφότου καθοδηγηθεί για να κάνει έτσι εξ αποστάσεως.
Το Flame είναι κατ’ ασυνήθιστο τρόπο μεγάλη σε μέγεθος και χρησιμοποιεί μια ασυνήθιστη γλώσσα σύνταξης κώδικα, την Lua, έτσι ώστε δεν μοιάζει κακόβουλο με την πρώτη ματιά. Οι “συντάκτες του Flame έχουν υιοθετήσει την έννοια του κρυψίματος σε κοινή θέα,” είπε. Επειδή το Flame δεν χρησιμοποιεί την τεχνολογία rootkit, τα ελεύθερα εργαλεία αντι-rootkit δεν είναι σε θέση να το ανιχνεύσουν. “Η ανακάλυψή του πρόκειται να είναι πιό περίπλοκη,” σύμφωνα με τον Schouwenberg.
Ποιος δημιούργησε το κακόβουλο λογισμικό;
Είναι ασαφές ποιος έγραψε και διένειμε το κακόβουλο λογισμικό, αλλά ο Schouwenberg είπε ότι οι ερευνητές πιστεύουν ότι ήταν ένα εθνικό κράτος ή κάποιος που μισθώθηκε από ένα εθνικό κράτος λόγω της προηγμένης φύσης της απειλής. Επειδή ο κώδικας είναι στα αγγλικά δεν σημαίνει ακριβώς ότι μια αγγλόφωνη χώρα είναι από πίσω του, είπε όταν ρωτήθηκε εάν σκέφτηκε ότι οι ΗΠΑ ή/και το Ισραήλ είναι πίσω από αυτό το κακόβουλο λογισμικό όπως πιστεύεται με τον Stuxnet.
Εν τω μεταξύ, το φιλελεύθερο εβραϊκό blog Tikun Olam αναφέρει μια μη αναγνωρισμένη “ανώτερη ισραηλινή πηγή” ότι επιβεβαιώνει πως οι ισραηλινοί εμπειρογνώμονες κυβερνοεχθροπραξίας δημιούργησαν το Flame για “να διεισδύσουν στους υπολογιστές ατόμων στο Ιράν, το Ισραήλ, την Παλαιστίνη και αλλού οι οποίοι συμμετέχουν σε δραστηριότητες που ενδιαφέρουν τη μυστική αστυνομία του Ισραήλ συμπεριλαμβανομένης της στρατιωτικής υπηρεσίας πληροφοριών.”
Σχετιζεται με τον Stuxnet και Duqu;
Το Flame έχει κοινά μερικά χαρακτηριστικά με δύο προηγούμενους τύπους κακόβουλου λογισμικού που στόχευσαν στα κρίσιμα συστήματα υποδομής και που χρησιμοποίησαν την ίδια πλατφόρμα τεχνολογίας: Stuxnet και Duqu. Ο Schouwenberg σκέφτεται ότι οι ίδιες οντότητες βρίσκονται πίσω από το Flame.
Παραδείγματος χάριν, τόσο το Flame όσο και το Stuxnet διαδίδονται μέσω δίσκων USB χρησιμοποιώντας τη μέθοδο “Autorun” (αυτόματη εκκίνηση) και ένα αρχείο .LNK που προκαλεί μια μόλυνση όταν ανοιχτεί ένας κατάλογος.
Το Flame μπορεί επίσης να αναπαραχθεί μέσω των τοπικών δικτύων χρησιμοποιώντας μια ευπάθεια κοινόχρηστου εκτυπωτή των WINDOWS που επίσης εκμεταλλεύτηκε από το Stuxnet. Το Kaspersky δεν αποκάλυψε το Flame χρησιμοποιώντας οποιεσδήποτε προηγουμένως άγνωστες ευπάθειες, αποκαλούμενες “Zero-Days,” αλλά δεδομένου ότι το Flame έχει μολύνει πλήρως ενημερωμένη έκδοση κώδικα συστήματων Windows 7 μέσω του δικτύου, μπορεί να υπάρχει εκμετάλλευση μιας υψηλού κινδύνου Zero-Day.
“Λειτουργούμε τώρα με την υπόθεση ότι βασικά το Flame και το Stuxnet ήταν δύο παράλληλα έργα που ανατέθηκαν από το ίδια εθνικό κράτος ή κράτη. Η πλατφόρμα Stuxnet δημιουργήθηκε από τη μια ομάδα ή επιχείρηση και το Flame από μια άλλη ομάδα ή επιχείρηση, και οι δύο ομάδες είχαν πρόσβαση σε αυτό το κοινό σύνολο exploits,” είπε. Το Flame είναι 20 φορές μεγαλύτερο από το Stuxnet, το οποίο θεωρήθηκε προηγουμένως το περιπλοκότερο κομμάτι κακόβουλου λογισμικού μέχρι σήμερα.
Πόσο σοβαρό είναι αυτό;
Οι ερευνητές του Kaspersky θεωρούν ότι υπάρχουν πολύ περισσότερα στο Flame από αυτά που ξέρουν τώρα. “Λειτουργούμε με την υπόθεση ότι υπάρχουν άλλες ενότητες που δεν ξέρουμε τίποτε, που θα μπορούσαν να ανυψώσουν το Flame από την κυβερνοκατασκοπεία στο κυβερνοσαμποτάζ,” είπε ο Schouwenberg.” Λαμβάνοντας υπόψη τη συντηρητική μέθοδο διάδοσης, υποθέτουμε ότι η μεγάλη πλειοψηφία των μολύνσεων που βλέπουμε είναι ηθελημένοι στόχοι… Το ποσό εργατικού δυναμικού που απαιτείται για να διατηρήσει αυτήν την επιχείρηση είναι πολύ σημαντικό. Το Flame χρησιμοποιεί περισσότερους από 80 κεντρικούς υπολογιστές C&C (εντολών και έλεγχου), τους οποίους δεν είχαμε δει πριν. Αυτό εμφανίζει το ποσό των δεσμευμένων πόρων σε αυτό το έργο.”
Ποιον στοχεύει το Flame;
Το μεγαλύτερο μέρος των μολύνσεων είναι στο Ιράν, ακολουθείται από το “Ισραήλ/ Παλαιστίνη,” το Σουδάν, τη Συρία, το Λίβανο, τη Σαουδική Αραβία και την Αίγυπτο, σύμφωνα με το Kaspersky.
Η Symantec λέει ότι οι αρχικοί στόχοι είναι “στην παλαιστινιακή Δυτική Όχθη, την Ουγγαρία, το Ιράν και το Λίβανο.”
“Με το Flame, δεν ήμαστε σε θέση να πούμε τι συνδέει όλους τους στόχους μαζί εκτός από αυτό ότι βρίσκονται στην ίδια γεωγραφική περιοχή,” είπε ο Schouwenberg.
“Προσπαθούμε να συνεργαστούμε με τις ομάδες απόκρισης περιστατικών συνολικά για να έρθουμε σε επαφή με αυτά τα θύματα και να ανακαλύψουμε περισσότερα, αλλά τώρα δεν ξέρουμε τι τύπος δεδομένων έχει κλαπεί.” Τα θύματα περιλαμβάνουν εκπαιδευτικά ιδρύματα, οργανώσεις σχετιζόμενες με κράτη και με άτομα.
Πόσο διαδεδομένο είναι το Flame;
Μέχρι τώρα υπάρχουν μόνο εκτιμήσεις ως προς το πόσο διαδεδομένες είναι οι μολύνσεις του Flame. Οι ερευνητές του Kaspersky έχουν δει μεταξύ 300 και 400 μολύνσεων στους υπολογιστές πελατών υποβάλλοντας τους ξανά αναφορά, αλλά οι ερευνητές σκέπτονται ότι θα μπορούσαν να υπάρξουν περισσότεροι από 1.000 μολυσμένοι υπολογιστές παγκοσμίως. Οι περισσότερες από τις μολύνσεις είναι στο Ιράν και άλλες χώρες στη Μέση Ανατολή.
Υπάρχουν μερικοί στις ΗΠΑ, και ο Schouwenberg είπε ότι εκείνοι θα μπορούσαν να οφείλονται σε κάποιο στη Μέση Ανατολή που χρησιμοποιεί ένα εικονικό ιδιωτικό δίκτυο με έδρα στις ΗΠΑ για να παρακάμψει τα φίλτρα Διαδικτύου σε εκείνη την χώρα σε αντιδιαστολή με τις γνήσιες μολύνσεις στους υπολογιστές με έδρα στις ΗΠΑ. “Εξετάζουμε sinkholing (παίρνοντας τον έλεγχο) μερικών από τους κεντρικούς υπολογιστές εντολής και ελέγχου και παίρνοντας δεδομένα από εκεί για να έχουμε μια ακριβέστερη ιδέα για τις μολύνσεις,” ο Schouwenberg είπε.
Εδώ είναι οι χώρες με τις περισσότερες μολύνσεις του Flame που ανακαλύφθηκαν από το Kaspersky.
(Securelist)
Έχει επιπτώσεις σε μένα;
Το μεγαλύτερο μέρος του σημαντικότερου λογισμικού αντιιών ανιχνεύει τώρα το Flame, έτσι η ενημέρωση του λογισμικού ασφάλειάς σας θα σας προστατεύσει. Το Kaspersky επίσης έχει προσφέρει συμβουλές για την με μη αυτόματο τρόπο αφαίρεση του κακόβουλου λογισμικού. Το λογισμικό δεν σχεδιάστηκε για την υποκλοπή οικονομικών δεδομένων και δεν φαίνεται να στοχεύει τους καταναλωτές, έτσι πιθανώς ο υπολογιστής σας είναι ασφαλείς.
Τι σημαίνουν όλα αυτά;
Ενώ το Flame αντιπροσωπεύει μια άλλη περίπλοκη επίθεση κυβερνοκατασκοπείας, δεν είναι ακριβώς ένας προάγγελος κυβερνοπολέμου. Οι χώρες διεξάγουν κυβερνοκατασκοπεία για χρόνια, αλλά δεν ήταν πριν από το Stuxnet, με τις συνδέσεις του με τις ΗΠΑ και το Ισραήλ, που μια δυτική χώρα έγινε δακτυλοδεικτούμενη από τους ερευνητές.
Το Stuxnet πιστεύεται ότι έχει με σκοπό να υπονομεύσει το πυρηνικό πρόγραμμα του Ιράν αφότου είχαν αποτύχει οι διπλωματικές και οι άλλες προσπάθειες. Ως εκ τούτου, το Flame δείχνει ότι περίπλοκες επιθέσεις σε υποδομές ζωτικής σημασίας, και πετυχαίνουν.
“Οι καλές ειδήσεις είναι ότι όπως το Stuxnet, το Flame εμφανίζεται να στοχεύει ιδιαίτερα,” γράφει ο Eric Byres, ανώτατος υπάλληλος τεχνολογίας και συνιδρυτής της Tofino Industrial Security, σε μια ανάρτηση blog.
“Αλλά οι κακές ειδήσεις είναι ότι αυτό το σκουλήκι σαφώς δείχνει ότι η βιομηχανία, ειδικά η ενεργειακή βιομηχανία, είναι τώρα ένας βασικός στόχος σε έναν γρήγορα αυξανόμενο κόσμο περίπλοκου, και με κυβερνητική υποστήριξη κακόβουλου λογισμικού.”
“Θα μπορούσατε να το αποκαλέσετε στρατιωτικών προδιαγραφών κακόβουλο λογισμικό, το οποίο είναι προφανώς μια κατηγορία παραπάνω (από άλλο κακόβουλο λογισμικό) και γενικά αυτές είναι συγκεκαλυμμένες επιχειρήσεις έτσι ώστε να παραμένουν λαθραίες είναι κορυφαία προτεραιότητα,” είπε ο Schouwenberg.” Στο τέλος, ήταν η προστασία κακόβουλου λογισμικού που ανακάλυψε αυτόν τον τύπο επίθεσης.”
Τελευταία ενημέρωση 4:35 μ.μ. PT με την αναφορά της πηγής από το Tikun Olam που λέει ότι το Ισραήλ είναι πίσω από το Flame.
Πηγή
Ακολουθεί ένα σχόλιο από τον παράπανω ιστότοπο το οποίο θεωρώ ότι μπορεί να προσφέρει κάποια υπηρεσία στους Έλληνες χρήστες.
Δεν είμαι σίγουρος ότι αυτός ο τύπος μπορεί πραγματικά να κάνει αυτό το σχόλιο: είπε ο Schouwenberg.
“Στο τέλος, ήταν η προστασία κακόβουλου λογισμικού που ανακάλυψε αυτόν τον τύπο επίθεσης.”
Υπέπεσε στην αντίληψη του Kaspersky, αλλά μόνο αφού είχαν παρατηρήσει άλλοι την ασυνήθιστη συμπεριφορά. Έτσι όχι, δεν βρέθηκε από προστασία κακόβουλου λογισμικού, βρέθηκε από τους χρήστες που παρατηρούν τη παραβιασμένη συμπεριφορά (π. χ. σβησμένους δίσκους).
Υπάρχουν μερικές τεχνολογίες να βοηθήσουν την παρεμπόδιση αυτών των δύο επιθέσεων (Flame και Stuxnet) πριν από την ανακάλυψη, όπως whitelisting (λευκή λίστα) εφαρμογών, και περιοδικά σύγκριση όλων των αρχείων σε ένα σύστημα με γνωστό MD5 / SHA1 κλειδιών κατακερματισμού, αλλά αυτές οι τεχνολογίες ανίχνευσης είναι τόσο δύσκολο να χρησιμοποιηθούν και να εφαρμοστούν, που οι περισσότεροι δεν το εξετάζουν και δεν το χρησιμοποιούν. (και πρέπει να έχετε έμπιστες πηγές κλειδιών κατακερματισμού, εάν ο επιτιθέμενός σας μπορεί να εισάγει τα προστιθέμενα αρχεία του στη πηγή κλειδιών κατακερματισμού, τότε ακόμη και ο έλεγχος hash αποτυγχάνει)
Άποψή μου είναι ότι αυτή είναι δουλειά του Ισραήλ. Και την τεχνογνωσία έχουν αλλά και αυτός είναι ο τρόπος που δουλεύουν με ψευδή σημαία και έχουν πιαστεί στα πράσσα (πρόσφατα εννοείται) ήδη με τον Stuxnet και την Φουκουσίμα.
Like this:
Be the first to like this post.
Στις 2 του Ιούνη 1988, ο τότε γενικός γραμματέας του ΝΑΤΟ Γιόζεφ Λουνς, με 
Λευτεριά στον Δ. Παπαγεωργίου
Πρόσφατα σχόλια