A A A

Flame broń doskonała?

PC Format 08/2012
Tworzenie złośliwego oprogramowania to coraz bardziej rozwinięta gałąź podziemnego przemysłu. W maju świat poznał wirusa Flame najnowszą cybernetyczną szpiegowską artylerię ciężką. AGNIESZKA SERAFINOWICZ

Nowe zagrożenie? Żadne nowe!

Czas działania Flame’a to kolejny przykład burzenia stereotypów dotyczących złośliwego oprogramowania. Dotychczas sądzono, że złośliwe oprogramowanie wykrywane jest dość szybko, w ciągu kilku, najwyżej kilkunastu dni. Oczywiście czas działania danego wirusa, trojana czy robaka internetowego może być znacznie dłuższy, ale jest on zagrożeniem znanym i neutralizowanym przez programy antywirusowe.

W przypadku opisywanej cyberbroni jest inaczej. Flame z powodzeniem infekował komputery i uprawiał swój szpiegowski proceder od dawna. Uzyskane wyniki analizy zagrożenia wskazują, że Flame działał już w marcu 2010 roku, co oznacza, że przez ponad dwa lata pozostał niewykryty! Dwa lata w cyfrowym świecie to niemal epoka. To nie wszystko. Najnowsze wyniki analiz wskazują, że gdy powstawał Stuxnet (był to początek 2009 roku), platforma, na jakiej bazuje Flame, już istniała, a jeden z modułów Stuxnetu okazał się wtyczką właśnie do Flame’a.

Jak to możliwe, że tak długo szkodnik pozostał w ukryciu? Wynika to głównie ze ściśle ukierunkowanego charakteru ataków przeprowadzonych za pomocą tego złośliwego oprogramowania. Jeszcze do niedawna wydawało się, że głównym celem były maszyny działające w rejonie Bliskiego Wschodu. Wykryte przez specjalistów incydenty miały miejsce m.in. w Sudanie czy Iranie, ale według ostatnich doniesień zainfekowane komputery odnaleziono również w Europie, Ameryce Północnej oraz Azji. Warto dodać, że długi czas istnienia „produktu” nie oznacza w tym przypadku, że jego funkcje się zdezaktualizowały. O ile szkielet Flame’a został opracowany w 2010 roku, o tyle kolejne moduły powstawały na przestrzeni ostatnich dwóch lat i podejrzewa się, że oprogramowanie to jest cały czas rozwijane.

Kto za tym stoi?

Odpowiedź na tak postawione pytanie brzmi: nie wiadomo. Trzy znane obecnie kategorie „producentów” złośliwego oprogramowania to: haktywiści, cyberprzestępcy oraz rządy państw. Wydaje się, że najbardziej prawdopodobna jest ta trzecia grupa, że to właśnie jakieś państwo sponsoruje badania, których rezultatem jest Flame. Świadczy o tym rozkład celów szkodnika (kraje na Bliskim Wschodzie) oraz niezwykła złożoność tego szkodliwego oprogramowania. Niestety, nie jest możliwe jednoznaczne wskazanie, które państwo jest odpowiedzialne za opracowanie opisywanej cyberbroni. Oczywiście można snuć domysły, ale mają one obecnie charakter pustych spekulacji.

Niewiele można również wywnioskować na podstawie ofiar Flame’a. Na celowniku komputerowego szpiega znalazły się zarówno organizacje państwowe, instytucje edukacyjne, jak i osoby fizyczne. Warto też pamiętać, że Flame został wykryty w wielu odmianach różniących się wielkością i zawartością. Również ośrodki kontrolujące zdalnie funkcje robaka nie mają żadnego powiązania terytorialnego, są rozmieszczone na całym świecie. Serwery Flame’a były przenoszone między wieloma krajami: m.in. Chinami (Hongkongiem), Turcją, Niemcami, Malezją, Łotwą, Szwajcarią, Wielką Brytanią oraz Polską. Do kontaktu cyberszpiega z operatorem było wykorzystywanych co najmniej kilkadziesiąt różnych domen, obecnie już odłączonych od sieci. Faktyczna liczba infekcji jest niestety niemożliwa do oszacowania ze względu na to, że Flame potrafi bardzo skutecznie sam się usunąć z zainfekowanego komputera.

Czy poznamy wszystkie tajniki szpiegowskiego Flame’a? Zapewne tak, ale to wymaga czasu. Eksperci firmy Kaspersky Lab przyznają, że analiza 500 kilobajtów kodu Stuxneta zajęła im kilka miesięcy, i ostrożnie szacują, że zrozumienie 20 MB kodu Flame’a zajmie około roku. Ale rok to dużo czasu, również dla haktywistów, cyberprzestępców i rządów państw produkujących cyberbroń.

Zdaniem eksperta

  • Aleksander Gostiew
    główny ekspert ds. bezpieczeństwa w Kaspersky Lab
Wstępne wyniki badania, przeprowadzonego na pilne zlecenie ITU, potwierdzają, że ataki szkodnika Flame są wysoce ukierunkowane. Jednym z najbardziej niepokojących faktów jest to, że kampania cyberataków z udziałem robaka Flame znajduje się obecnie w aktywnej fazie, a przeprowadzające ją osoby nieustannie nadzorują zainfekowane systemy, gromadząc informacje i atakując nowe systemy w celu osiągnięcia nieznanych celów.
​​​​​

Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności


Nie zapomnij o haśle!
21 czerwca 2022
Choć mogą się wydawać mało nowoczesne, hasła to nadal nie tylko jeden z najpopularniejszych sposobów zabezpieczania swoich kont, ale także...


Artykuły z wydań

  • 2024
  • 2023
  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • 2016
  • 2015
  • 2014
  • 2013
  • 2012
  • 2011
  • 2010
  • 2009
  • 2008
  • 2007
Zawartość aktualnego numeru

aktualny numer powiększ okładkę Wybrane artykuły z PC Format 1/2022
Przejdź do innych artykułów
płyta powiększ płytę
Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto