Flame: αποκαλύφθηκε το πιο εξελιγμένο κακόβουλο λογισμικό

Χάρτης της Kaspersky με την τοποθεσία και τον αριθμό "μολυσμένων" υπολογιστών από το Flame, που ανήκουν σε ιδιώτες και έχουν καταγραφεί μέχρι στιγμής Μία πολύ εξειδικευμένη και πολύπλοκη κυβερνοεπίθεση από λογισμικό που συλλέγει ιδιωτικά στοιχεία χρηστών από χώρες όπως το Ισραήλ και το Ιράν, αποκαλύφθηκε από την εταιρεία KasperskyLabs. Σύμφωνα με την εταιρεία, το malware με το όνομα Flame, «κυκλοφορεί» από τον Μάρτιο του 2010.

Οι άνθρωποι της Kaspersky αναφέρουν πως πεποίθησή τους είναι ότι το Flame είναι «κρατική υπόθεση», δηλαδή προέρχεται από κάποια υπηρεσία ασφαλείας, αλλά δεν μπορούν να είναι σίγουροι γι αυτό.

Σύμφωνα με τον Eugene Kaspersky, CEO και ιδρυτή της εταιρείας, ανακοινώνοντας τις εκτιμήσεις της εταιρείας ασφαλείας, αναφέρθηκε στην πολυπλοκότητα του κακόβουλου λογισμικού αυτού, που κάνει το StuxNet να μοιάζει με «βρέφος», με εντελώς διαφορετικό τρόπο δράσης, λόγω της γεωγραφικής επιλογής των «θυμάτων» του και της συμπεριφοράς του. Θεωρείται πως ο κώδικας γράφτηκε από διαφορετικούς προγραμματιστές και όχι εκείνους που έφτιαξαν το StuxNet και το DuQu, αλλά πολύ πιθανόν το Flame να είναι ένα παράλληλο συμβόλαιο.

Το σίγουρο είναι πάντως πως το Flame ανοίγει ένα καινούριο κεφάλαιο στον κυβερνοπόλεμο μεταξύ των κρατών και δεν έχει να κάνει με τις υποθέσεις κυβερνοεπιθέσεων που διαβάζουμε στην καθημερινότητά μας και προέρχονται από μεμονωμένους και συνηθισμένους «attackers».
Από την ανάλυση του Flame προκύπτει ότι πρόκειται για ένα malware που έχει σχεδιαστεί ώστε να παρακολουθεί τους χρήστες των μολυσμένων υπολογιστών, να κλέβει δεδομένα, περιλαμβανομένων εγγράφων, καταγεγραμμένων συνομιλιών, αλλά και πληκτρολογήσεις. Ανοίγει δε μία «πίσω πόρτα» ώστε όσοι βρίσκονται πίσω από τις επιθέσεις, να μπορούν να προσθέτουν νέες λειτουργίες στο λογισμικό.

Όταν έχουν εγκατασταθεί όλα τα modules του Flame, το μέγεθός του δεν ξεπερνά τα 20MB και περιέχει πολλαπλές βιβλιοθήκες, SQLite3 δεδομένων και διάφορα επίπεδα κρυπτογράφησης, άλλα περισσότερο ισχυρά, άλλα λιγότερο. Περιέχει όμως περισσότερα από 20 plug-ins που του προσδίδουν διάφορες ιδιότητες και παρακολουθούν διάφορα πράγματα από τον υπολογιστή του χρήστη.


Η KasperskyLab ονομάζει το Flame ως «μία από τις πιο περίπλοκες απειλές που έχουν ανακαλυφθεί ποτέ», σε σημείο να τους συναρπάζει. Οι ίδιοι αναφέρουν ότι το Flame κυκλοφορεί από τον Μάρτιο του 2010 και είναι πολύ παράξενο πώς πέρασε απαρατήρητο από τις εταιρείες ασφαλούς λογισμικού, δεδομένου του «μεγέθους» του κώδικα. Ο Chief Security Expert, Alexander Gostev, σημειώνει μάλιστα πως υπάρχουν ενδείξεις ότι το malware μπορεί να υφίσταται ήδη από το 2007, όταν εμφανίστηκαν δηλαδή τα StuxNet και DuQu. Δεδομένης της πολυπλοκότητας του κώδικα, ο Gostev πιστεύει πως η ανάλυσή του, μπορεί να πάρει χρόνια. «Μας πήρε 6 μήνες να αναλύσουμε το StuxNet. Το Flame είναι 20 φορές πιο περίπλοκο. Θα χρειαστούμε μία δεκαετία για να καταλάβουμε τα πάντα».

H Kaspersky ανακάλυψε το malware πριν δύο εβδομάδες περίπου, όταν η ένωση τηλεπικοινωνιών των Ηνωμένων Εθνών ζήτησε από την εταιρεία να ασχοληθεί με αναφορές που ήθελαν υπολογιστές που ανήκαν στο Ιρανικό Υπουργείο Πετρελαίου και την Κρατική Εταιρεία παραγωγής Πετρελαίου να έχουν πληγεί από κακόβουλο λογισμικό που έκλεβε και διέγραφε πληροφορίες από το σύστημα.

Μετά την αναζήτηση στα reports που έστελναν τα μηχανήματα απ’ όλο τον κόσμο, η Kaspersky διαπίστωσε πως υπήρχε ένα κωδικό όνομα το οποίο υπήρχε μόνο σε υπολογιστές που βρίσκονται στη Μέση Ανατολή. Όσο έψαχναν περισσότερο, οι αναλυτές της Kaspersky διαπίστωναν πως υπήρχαν διάφορα plug-ins του Flame που δρούσαν σε υπολογιστές στην παραπάνω περιοχή.

Μέσα στα πολλά modules του Flame που έχουν αναγνωριστεί, υπάρχουν αυτά που καταγράφουν συνομιλίες στο Skype, την στιγμή που αυτές πραγματοποιούνται, αλλά και σαρώνουν συσκευές που συνδέονται στους υπολογιστές μέσω Bluetooth προκειμένου να καταγράψουν τις επαφές και τους αριθμούς τηλεφώνων. Η δραστηριότητα στο ίντερνετ και οι κωδικοί πρόσβασης των χρηστών επίσης υποκλέπτονται με άλλο module, οι πληροφορίες αυτές μεταφέρονται στους επινοητές της επίθεσης.

Σύμφωνα με τον χάρτη που έδωσε στη δημοσιότητα η Kaspersky, οι «μολυσμένοι» υπολογιστές υπάρχουν σε μέρη που υπάρχει αναταραχή στη Μέση Ανατολή, αλλά και σε «συνηθισμένους» στόχους, όπως το Ιράν, η Παλαιστίνη και το Ισραήλ, το Σουδάν, η Συρία, το Λίβανο, η Σαουδική Αραβία και η Αίγυπτος.

Φταίει κανείς να αρχίσει να πιστεύει τις θεωρίες συνωμοσίας, αλλά και να γελάει κάθε φορά που απειλή για το internet, θεωρούνται οι Anonymous; Κακόβουλα λογισμικά όπως το Flame, αποτελούν τον ορισμό του κυβερνοεγκλήματος. Και κάποια στιγμή πρέπει να διαχωριστεί από τον ακτιβισμό.
Πηγές: BBC, Wired.com, the Verge

Σχόλια