Bezpieczeństwo

Flamer: najbardziej zaawansowany wirus komputerowy w historii dziełem USA i Izraela?

Karol Żebruń | Redaktor serwisu benchmark.pl
41 komentarzy Dyskutuj z nami

Stuxnet wierzchołkiem góry lodowej

Redaktorzy Washington Post powołując się na swoje źródła donoszą, że odkryty w maju szkodnik Flamer działał pod kontrolą wywiadów USA i Izraela. Z tak bardzo zaawansowanym i rozbudowanym narzędziem do cyberinfiltracji, zdaniem firm zajmujących się bezpieczeństwem, jeszcze nie mieliśmy do czynienia.

Wirusy to często stosowany synonim dla wszelkiego typu niebezpiecznych szkodników komputerowych, które mają na celu działalność destrukcyjną lub szpiegowską. W 2010 roku po odkryciu szkodnika Stuxnet, który wydostał się z zainfekowanych systemów w irańskiej elektrowni Natanz, ogłosiliśmy nadejście nowej ery cyberwojen. Stuxnet powiązano z programem Olympic Games, który uruchomiono jeszcze za administracji prezydenta Georga W. Busha.

Flamer wirus washington post USA Izrael

Kto by jednak przypuszczał, że to tylko wierzchołek góry lodowej, która w znacznie większym stopniu ukazała się światu dopiero w ubiegłym miesiącu. Szkodnik otrzymał nazwy kodowe W32.Flamer (Symantec) lub Flame (Kaspersky).

Zdaniem Pawła Wojciechowskiego, dyrektora technicznego z polskiego biura Symanteca:

„W32.Flamer jest postrzegany przez centrum Symantec Security Response za jedno z najbardziej złożonych zagrożeń wykrytych do tej pory. W32.Flamer jest wielofunkcyjnym narzędziem szpiegowskim, które umożliwiało kradzież dokumentów, pozwalało na kopiowanie zrzutów z ekranu i rozprzestrzeniła się w szczególności poprzez napędy USB. A to tylko kilka przykładowych cech W32.Flamer. Rozmiar kodu jest niespotykany do tej pory i kilkakrotnie większy od Stuxnet i Duqu. Dodając do tego modułową budowę W32.Flamer, możemy stwierdzić, że specjaliści z firmy Symantec nigdy do tej pory nie spotkali się z tak złożonym zagrożeniem użytym w ukierunkowanych atakach (ADT). Jeżeli weźmiemy również pod uwagę fakt, że atak był bardzo ukierunkowany to odpowiadając na pytanie, jego wykrycie nie było łatwe.”

Fragmenty kodu flamera

Kod Flamera jest bardzo skomplikowany, podzielony na moduły, które w przypadku całkowicie zainfekowanej maszyny zajmują nawet 20 MB. Szkodnik nie maskował swojej obecności w szczególny sposób, a komunikacja z centrami kontroli (Command & Control) była szyfrowana protokołem SSL.

Dzięki temu, że był to bardzo ukierunkowany atak, wykorzystujący słabości atakowanego systemu, potrafił pozostać tak długo nie wykryty. Flamer jest określany przez Symantec jako:

„… wielofunkcyjne narzędzie służące do szpiegowania. Można go nazwać cyberszpiegiem, natomiast nie wykryto jego działalności destrukcyjnej. Jest możliwe, że informacje zgromadzone przez Flamera mogą być wykorzystywane stworzenia zagrożenia destrukcyjnego typu Stuxnet. Istnieje również możliwość, przekształcenia Flamera w narzędzie destrukcyjne poprzez przesłanie do niego odpowiedniego moduły/kodu. Ale nie zostało to jak do tej pory zaobserwowane.”

Na początku czerwca wiele instalacji Flamera otrzymało rozkaz usunięcia się z zainfekowanych systemów.

Flamer wirus zakres działań szpiegowskich
Zakres działań szpiegowskich Flamera obejmował praktycznie każdą aktywność, która wymagała korzystania z komputera. Kliknij, aby zobaczyć pełną listę.

Po wykryciu Flamera udało się ustalić, że atakował on przede wszystkim systemy w krajach na Bliskim Wschodzie, a przede wszystkim w Iranie. Symantec, który jako jedna z firm zajmujących się bezpieczeństwem mocno jest zaangażowany w walkę z Flamerem, uważa, że:

„Biorąc pod uwagę stopień skomplikowania Flamera musiał on być stworzony przez dobrze zorganizowany, z dużym zapleczem finansowym zespół osób. Prawdopodobieństwo zaangażowania państwa w rozwój Flamera jest wysokie. Są to tylko jednak przypuszczenia nie poparte dowodami. Firma Symantec nie będzie spekulować na temat motywacji lub konkretnych stron, które mogły być zaangażowane.”

Tymczasem na łamach opiniotwórczego dziennika Washington Post, który już niejednokrotnie przyczynił się ujawnienia afer w polityce, pojawiły się bardzo mocne słowa, z których wynika, że Flamer stworzyły USA i Izrael. Swoją działalność Flamer rozpoczął prawdopodobnie już 5 lat temu.

Flamer wirus Kraje infekcje ilość
Kraje, gdzie dokonano ataków. Co ciekawe, Izrael również jest na liście.

Wykrycie Flamera możliwe stało się, podobnie jak w przypadku Stuxneta, dzięki przypadkowi. Tym razem jak donosi Washington Post, "winnym" są służby izraelskie, które nie koordynując działa z wywiadem USA, podjęły niezbyt szkodliwą próbę ataku na irański przemysł naftowy. Ta właśnie aktywność nie umknęła uwadze firm zajmujących się bezpieczeństwem w cyberprzestrzeni.

W artykule na stronie Washington Post możemy przeczytać, że prawdopodobnie istnieją jeszcze bardziej zaawansowane narzędzia niż Flamer. Choć są to spekulacje, nie można ich ignorować. Wystarczy zauważyć, że sam Flamer wykorzystywał do rozprzestrzeniania się mechanizmy uznawane za bezpieczne - automatyczną aktualizację Windows czy „… lukę w Terminal Services licensing CA w systemie Windows. Usługa ta standardowo jest używana tylko do weryfikacji serwera licencji, ale może być również używana do podpisywania kodu wykonywalnego.”

Microsoft wydał na początku czerwca stosowne poprawki, unieważniające szkodliwe certyfikaty. Flamer to także pierwszy Windowsowy szkodnik, który wykorzystuje technologię Bluetooth.

Jak widać, choć problem wiązany jest lokalnie z Bliskim Wschodem, to ma skalę ogólnoświatową. Jednak przeciętnemu użytkownikowi peceta Flamer nie powinien spędzać snu z oczu. Oczywiście, na wszelki wypadek, nie należy zapominać o stosowaniu zaktualizowanych wersji oprogramowania zabezpieczającego.


Więcej o bezpieczeństwie:

Źródło: Washington Post, Symantec, Kaspersky, Inf. własna, foto: Karol Żebruń

Komentarze

41
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    manioor
    71
    hamburgery i żydki pięknie sobie poczynają, a cały świat patrzy i nic nie robi.
  • avatar
    poprostujakub
    19
    Dwie rzeczy: postuluję używanie nazwy USrael, bo oba kraje są zarządzane przez tych samych ludzi i jeśli jeden umoczy, drugi też będzie umoczony, oraz żądam odpowiedzi na pytanie: kto tu jest teraz terrorystą?
  • avatar
    Konto usunięte
    5
    Takich wirusów pewnie są setki i to dużo bardzie zaawansowanych. Tego pewnie odkryli przez przypadek, albo twórcy chcieli żeby go odkryto na pożarcie mediom i firmą badającym wirusy, która tak naprawdę są daleko za murzynami(że tak się brzydko wyrażę)w porównaniu do twórców.
  • avatar
    Konto usunięte
    3
    Wszystko jasne, Izrael po raz kolejny chciał w jakiś sposób dobrać się do Iranu, to stworzyli wirusa. Nie mają odpowiedniego zaplecza militarnego, więc zrobili to w ten sposób. To państwo jest czasem bardzo irytujące, ale tylko zaraz spróbuj coś skrytykować- zasłonią się antysemityzmem ,albo wyświechtanym sloganem holokaustu.
    Współpraca z USA mnie nie dziwi- te dwa państwa/narody zawsze się dogadały ( w ciągu ostatnich 20 lat w szczególności) żeby razem coś zmajstrować. USA ma dobrych hakerów żeby się tam dostać. Im też to na rękę- nie od dziś wiadomo że Ameryka chce się dobrać do Irańskiej ropy i kontrolować jej transport przez zatokę Perską.
  • avatar
    Konto usunięte
    2
    fajny news bardzo mi się podoba, nawet nie wiedziałem że takie coś jest.
  • avatar
    GKruger
    1
    Dobrze że jest wiele ludzi co widzi ten problem. Trzeba zacząć coś robić żeby to masońskie gówno nie wprowadziło nwo
  • avatar
    Konto usunięte
    -2
    LINUX i masz w dupie te wirusy.
  • avatar
    Skaza
    0

    Jeszcze do niedawna przepływ informacji był jednostronny. Media pozwalały na stosowanie prostej propagandy, a równocześnie dostęp do alternatywnych źródeł informacji był znacząco utrudniony. Dzisiaj, wraz z ogromnym postępem technologicznym przepływ danych jest dwukierunkowy. Tak więc jesteśmy nieustannie bombardowani śmieciowymi informacjami, często zmanipulowanymi w celu osiągnięcia określonego efektu. Media potrafią w nieskończoność podtrzymywać mało istotne tematy oraz spłycać naprawdę ważne wydarzenia. Z drugiej strony sami jesteśmy znaczącym źródłem informacji. Część z nich udostępniamy dobrowolnie. Pisząc artykuły, blogi lub komentarze przekazujemy innym nasze przemyślenia, opinie. Ale równocześwie wiele danych jest lub w najbliższej przyszłości będzie pozyskiwanych bez naszej zgody, pomimo faktu, iż dotyczą nas samych. Komputery, telefony komórkowe, karty lub dokumenty zawierające układy elektroniczne, systemy monitoringu... Wszystkie te urządzenia są potencjalnymi "zdrajcami" naszej prywatności. Dzisiejszy news oraz wiele poprzednich pokazują, że istnieje duże zainteresowanie ze strony rządów i korporacji odnośnie technologii pozwalających na pozyskiwanie informacji. Teraz jeszcze mówi się o bezpieczeństwie, o zagrożeniach generowanych przez terroryzm, reżim i fanatyzm. Jednak w obliczu nieustannie spadającego zadowolenia i poparcia dla rządów i rządzących, pewnego dnia może okazać się, że dla
    władzy to właśnie My jesteśmy zagrożeniem.

    A może już jesteśmy ?
  • avatar
    rrrrrr
    0
    To tylko testy bojowe. A wkrótce, jeśli zostanie przepchany odpowiednik SOPA, PIPA, ACTA czy CISPA, takie g***o zostałoby "praworządnie" rozsiane na komputery obywateli w bardziej cywilizowanych państwach i inwigilacja na całego.
  • avatar
    Konto usunięte
    0
    Głosowanie na temat ACTA miało miejsce bodajże 2 dni temu...
  • avatar
    Komperko
    0
    Bush wyskoczył z krzaków i atakuje xD
  • avatar
    Cutter72
    0
    Ale wywody ^^ pewnie nigdy sie nie dowiemy jak to na prawde było/jest za to miejmy pozytywne nastawienie i starajmy spełniać się we własnym zakresie a świat będzie szedł w dobrym kierunku jak każdy zacznie od siebie