Odhalena řídící infrastruktura viru Flame, ke staršímu Stuxnetu se přiznala vláda USA

Karel Michal , 06. červen 2012 08:00 1 komentářů
Odhalena řídící infrastruktura viru Flame, ke staršímu Stuxnetu se přiznala vláda USA

Dnešní hit mezi sofistikovanými špionážními viry, program Flame, postupně vydává svá největší tajemství. K jeho ideovému předchůdci, prvnímu sofistikovanému kódu pro kyberšpionáž, červu Stuxnet se přiznala vláda USA. Stuxnet útočil na počítačové průmyslové systémy, vyvinula jej americká vláda ve spolupráci s Izraelem na kyberútoky proti Iránu.

struktura C&C viru Flame
struktura C&C viru Flame
Virus Flame posílal odcizená data jednomu ze svých řídících serverů (C&C). Vyplývá to z výsledků podrobné výzkumné zprávy společnosti Kaspersky Lab, ta virus poprvé objevila a nyní jeho C&C infrastrukturu intenzivně monitoruje.

Ruský antivirový výrobce zveřejnil odhalení vysoce sofistikovaného škodlivého programu Flame 28. května. Virus byl aktivně využíván jako kybernetická zbraň zacílená na instituce v několika zemích. Flame byl odhalen odborníky z Kaspersky Lab během vyšetřování provedeného na popud Mezinárodní komunikační unie (ITU), jejímž zřizovatelem je Organizace spojených národů. Analýza zákeřného programu potvrdila, že se jedná o dosud nejrozsáhlejší a nejkomplexnější kybernetickou sadu nástrojů.

Výzkumníkům se již podařilo identifikovat většinu škodlivých domén, jež využívala C&C infrastruktura viru Flame.

Výsledky analýzy:

  • Několik let aktivní infrastruktura řídících serverů viru Flame se odpojila ihned poté, co minulý týden Kaspersky Lab zveřejnila odhalení malwaru Flame.

  • V současné době je více než 80 známých domén využíváno virem Flame a jeho řídícími servery a souvisejícími doménami, které byly registrovány v letech 2008 – 2012.

  • Během uplynulých čtyř let se servery hostící řídící infrastrukturu viru Flame přesunovaly mezi různými lokalitami, včetně Hongkongu, Turecka, Německa, Polska, Malajsie, Lotyšska, Spojeného království a Švýcarska.

  • Domény řízené virem Flame byly registrovány od roku 2008 pomocí úctyhodného seznamu falešných identit a s různými správci.

  • Podle společnosti Kaspersky Lab byli infikovaní uživatelé registrováni v několika různých regionech včetně Blízkého východu, Evropy, Severní Ameriky, Asie a Tichomoří.

  • Útočníci stojící za virem Flame se zaměřovali na odcizení zejména elektronických nákresů v PDF a textových formátech a výkresech vytvořených v programu AutoCad.

  • Údaje, které byly virem Flame odeslané na jeho řídící servery jsou zakódované za použití relativně jednoduchých algoritmů. Odcizené dokumenty jsou komprimované využitím otevřeného zdroje Zlib a modifikované komprese PPDM.

  • Operační systém Windows 7 64 bit, jenž Kaspersky Lab v minulosti doporučovala jako dobré řešení odolné vůči ostatnímu malwaru, se zdá být vůči viru Flame účinné

Stuxnet je dílem americké vlády

To alespoň tvrdí deník The New York Times, ten popisuje, jak probíhala více než roční americká špionáž a další digitální útoky na Irán. Podle NYT se mělo jednat o celou sérii sofistikovaných útoků s kódovým označením olympijské hry. Ty pomyslně odstartoval ještě za svého úřadování tehdejší prezident George Bush mladší.

Hlavním cílem útoků byly íránské centrifugy na obohacování uranu ve městě Natanz. Na projektu se podílela také vláda Izraele, ta hlavně do továrny dostala kód zabudovaný v nových dodávaných systémů od Siemensu a v zařízeních nejmenovaného íránského výrobce. Kód mapoval počítačové systémy v průmyslovém objektu, trochu záhadou je, jak se dostávaly data z uzavřeného systému (bez připojení na Internet) zase ven.

Po špionáži systémů byl teprve vyvinut první prototyp červa. Ten byl následně otestován na libyjských systémech, které vláda odevzdala USA po ukončení svého jaderného programu. Následovalo vložení červa do systémů v továrnách v Natanz. První verze se tam měly dostat na USB flashkách, které agenti rozházeli v okolí továrny.

Zde červ infikoval počítače, které řídí centrifugy a ty pak postupně ničil tím, že je roztáčel na příliš vysoké otáčky. Irán sice podle novin intenzivně hledal příčinu problémů, ale až do úniku kódu na Internet se pohyboval pouze po falešné stopě. Na Internet se dostal červ přes notebook jednoho z pracovníků v továrně. Během útoků mělo být vyřazeno z provozu asi 1000 z celkových 5000 centrifug.

Jak se proti podobným situacím bánit? Jednou z možností je použití jiné, než dominantní platformy na běžných počítačích. Ruská federace i Čína již před časem oznámily, že prosazují jako hlavní operační systém ve státní správě obou zemí vlastní distribuce Linuxu. Že by to byla pouze náhoda?


Komentáře

andrej #1
andrej 06. červen 2012 11:18

> První verze se tam měly dostat na USB flaskách, které agenti rozházeli v okolí továrny.

ROFL, zase klasicky social engineering...

RSS 

Komentujeme

Vládní čtvrť a vládní systém, tedy ten informační

Petr Zavoral , 06. leden 2018 16:15
Petr Zavoral

Jeden ze zakladatelů enterprise architektury John Zachman srovnává IT v institucích s Boeingem: Firm...

Více







Kalendář

18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
30. 01. Ecommerce Expo Prague 2018

RSS 

Zprávičky

Apple se vrací do USA

ČTK , 18. leden 2018 10:07

Firma Apple plánuje postavit další firemní kampus ve Spojených státech a najmout v zemi v příštích p...

Více 0 komentářů

Prodej přes Internet zničí dealery aut

ČTK , 18. leden 2018 10:02

Do roku 2025 celosvětově zanikne 30 až 50 % klasických automobilových dealerství. ...

Více 0 komentářů

Bitcoin se poprvé od začátku prosince propadl pod 10 000 dolarů

ČTK , 18. leden 2018 08:00

"Co se týče kryptoměn, obecně mohu téměř s jistotou prohlásit, že dospějí ke špatnému konci," řekl W...

Více 0 komentářů

Starší zprávičky

Digitální fragmentace představuje hrozbu pro další rozvoj firem

Pavel Houser , 17. leden 2018 14:51

Množství restriktivních opatření přijatých státy G20 se mezi lety 2010 a 2016 zčtyřnásobilo....

Více 1 komentářů

V USA prý vyzývají AT&T k přerušení vztahů s Huawei

ČTK , 17. leden 2018 09:00

Zákonodárci údajně varují americké podniky, že vztahy s Huawei či China Mobile snižují jejich šance ...

Více 0 komentářů

Roman Knap jmenován generálním ředitelem SAP Slovensko

Pavel Houser , 17. leden 2018 08:00

R. Knap v letech 2012–2014 zastával pozici generálního ředitele SAP Slovensko, od roku 2014 je gener...

Více 0 komentářů

Bitcoin ztrácí 18 %, dolů ho tlačí obavy z regulace

ČTK , 16. leden 2018 12:18

Trhy se obávají regulace obchodů po oznámení jihokorejského ministra financí....

Více 0 komentářů