WebHostingTalk

Ognisty robak w Iranie

Irański Zespół ds. reagowania na przypadki naruszenia bezpieczeństwa teleinformatycznego (Iran National CERT, MAHER) donosi o odkryciu nowego ataku malware w kraju. Szkodnika nazwano Flame  (także Flamer albo Skywiper).Nazwy tej użyto ze względu na jeden z modułów zlokalizowany w różnych częściach zdeszyfrowanego kodu.  W rzeczywistości jest to platforma zdolna do pobierania i instalowania różnych fragmentów w zależności od celu.

W oświadczeniu zawarto stwierdzenie że program wykazuje podobieństwo do Stuxnet’a, i nie znajduje go żaden z  43 przetestowanych aplikacji antywirusowych. Jednak na początku maja, centrum MAHER stworzyło program wykrywający który zaktualizowano o nowe dane, a teraz w postaci „szczepionki” przygotowany jest do dostarczenia.

Flamer może przenosić się (tak jak Stuxnet) przez dyski USB i sieć.  Dodatkowo (infekując komputery pod kontrolą Windows XP, Vista i Windows 7) jest zdolny do odczytywania haseł, robienia zrzutów ekranu i kradzieży danych. Jego cechy to także:

  • Sniffowanie sieci,  wykrywanie zasobów i zbieranie haseł
  • Skanowanie systemu by znaleźć pliki o specyficznym rozszerzeniu i zawartości
  • Użycie podłączonego mikrofonu w celu nagrywania dźwięków otoczenia
  • Transfer danych do serwerów Użycie więcej niż 10 domen jako serwerów kontrolnych
  • Wykorzystanie protokołów  SSH i HTTPS  w celu komunikacji z serwerami

CrySyS, laboratorium do spraw kryptografii bezpieczeństwa systemów komputerowych budapeskiego  Uniwersytetu Technologii opracowało  63-stronicowy raport w którym pisze o analizie Flamer’a, wysuwając wniosek:

 „Rezultat naszej analizy podtrzymuje hipotezę – sKyWIper został stworzony przez agencję rządową ze sporym budżetem a całe zdarzenie może zostać uznane za typowe ataki na systemy informatyczne wroga będące cechą wojny cybernetycznej (cyber-warfare).  sKyWIper na pewno jest najbardziej zaawansowanym malware jaki analizowaliśmy, prawdopodobnie najbardziej skomplikowany ze wszystkich do tej pory istniejących”.

Warto wspomnieć że  CrySyS otrzymał informacje o komputerach zainfekowanych Skywiper’em w różnych krajach, nie tylko w Środkowym Wschodzie, wliczając doniesienia o zarażeniach także na Węgrzech.

Opublikowany raport podaje w jaki sposób Flamer omija detekcję:  ponieważ pliki .OCX są często wyłączane z wykrywania, służą za przechowalnię kodu. Jednak, gdy systemem antywirusowym jest McAfee – kod zapisywany jest do plików .TMP.

Pełna analiza nie została jeszcze przeprowadzona – program jest ponad 20 razy większy niż Stuxnet – ale w zupełności wystarczy do wykrycia i usunięcia infekcji.

 http://www.crysys.hu/skywiper/skywiper.pdf

Flame malware – more details of targeted cyber attack in Middle East

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *