Nowe zagrożenie? Żadne nowe!
Czas działania Flame’a to kolejny przykład burzenia stereotypów dotyczących złośliwego oprogramowania. Dotychczas sądzono, że złośliwe oprogramowanie wykrywane jest dość szybko, w ciągu kilku, najwyżej kilkunastu dni. Oczywiście czas działania danego wirusa, trojana czy robaka internetowego może być znacznie dłuższy, ale jest on zagrożeniem znanym i neutralizowanym przez programy antywirusowe.
W przypadku opisywanej cyberbroni jest inaczej. Flame z powodzeniem infekował komputery i uprawiał swój szpiegowski proceder od dawna. Uzyskane wyniki analizy zagrożenia wskazują, że Flame działał już w marcu 2010 roku, co oznacza, że przez ponad dwa lata pozostał niewykryty! Dwa lata w cyfrowym świecie to niemal epoka. To nie wszystko. Najnowsze wyniki analiz wskazują, że gdy powstawał Stuxnet (był to początek 2009 roku), platforma, na jakiej bazuje Flame, już istniała, a jeden z modułów Stuxnetu okazał się wtyczką właśnie do Flame’a.
Jak to możliwe, że tak długo szkodnik pozostał w ukryciu? Wynika to głównie ze ściśle ukierunkowanego charakteru ataków przeprowadzonych za pomocą tego złośliwego oprogramowania. Jeszcze do niedawna wydawało się, że głównym celem były maszyny działające w rejonie Bliskiego Wschodu. Wykryte przez specjalistów incydenty miały miejsce m.in. w Sudanie czy Iranie, ale według ostatnich doniesień zainfekowane komputery odnaleziono również w Europie, Ameryce Północnej oraz Azji. Warto dodać, że długi czas istnienia „produktu” nie oznacza w tym przypadku, że jego funkcje się zdezaktualizowały. O ile szkielet Flame’a został opracowany w 2010 roku, o tyle kolejne moduły powstawały na przestrzeni ostatnich dwóch lat i podejrzewa się, że oprogramowanie to jest cały czas rozwijane.
Kto za tym stoi?
Odpowiedź na tak postawione pytanie brzmi: nie wiadomo. Trzy znane obecnie kategorie „producentów” złośliwego oprogramowania to: haktywiści, cyberprzestępcy oraz rządy państw. Wydaje się, że najbardziej prawdopodobna jest ta trzecia grupa, że to właśnie jakieś państwo sponsoruje badania, których rezultatem jest Flame. Świadczy o tym rozkład celów szkodnika (kraje na Bliskim Wschodzie) oraz niezwykła złożoność tego szkodliwego oprogramowania. Niestety, nie jest możliwe jednoznaczne wskazanie, które państwo jest odpowiedzialne za opracowanie opisywanej cyberbroni. Oczywiście można snuć domysły, ale mają one obecnie charakter pustych spekulacji.
Niewiele można również wywnioskować na podstawie ofiar Flame’a. Na celowniku komputerowego szpiega znalazły się zarówno organizacje państwowe, instytucje edukacyjne, jak i osoby fizyczne. Warto też pamiętać, że Flame został wykryty w wielu odmianach różniących się wielkością i zawartością. Również ośrodki kontrolujące zdalnie funkcje robaka nie mają żadnego powiązania terytorialnego, są rozmieszczone na całym świecie. Serwery Flame’a były przenoszone między wieloma krajami: m.in. Chinami (Hongkongiem), Turcją, Niemcami, Malezją, Łotwą, Szwajcarią, Wielką Brytanią oraz Polską. Do kontaktu cyberszpiega z operatorem było wykorzystywanych co najmniej kilkadziesiąt różnych domen, obecnie już odłączonych od sieci. Faktyczna liczba infekcji jest niestety niemożliwa do oszacowania ze względu na to, że Flame potrafi bardzo skutecznie sam się usunąć z zainfekowanego komputera.
Czy poznamy wszystkie tajniki szpiegowskiego Flame’a? Zapewne tak, ale to wymaga czasu. Eksperci firmy Kaspersky Lab przyznają, że analiza 500 kilobajtów kodu Stuxneta zajęła im kilka miesięcy, i ostrożnie szacują, że zrozumienie 20 MB kodu Flame’a zajmie około roku. Ale rok to dużo czasu, również dla haktywistów, cyberprzestępców i rządów państw produkujących cyberbroń.
Zdaniem eksperta
- Aleksander Gostiew
główny ekspert ds. bezpieczeństwa w Kaspersky Lab
Wstępne wyniki badania, przeprowadzonego na pilne zlecenie ITU, potwierdzają, że ataki szkodnika Flame są wysoce ukierunkowane. Jednym z najbardziej niepokojących faktów jest to, że kampania cyberataków z udziałem robaka Flame znajduje się obecnie w aktywnej fazie, a przeprowadzające ją osoby nieustannie nadzorują zainfekowane systemy, gromadząc informacje i atakując nowe systemy w celu osiągnięcia nieznanych celów.