margin-top: 125px; border: 1px solid gray; } -->

Odhalena řídící infrastruktura viru Flame, ke staršímu Stuxnetu se přiznala vláda USA

Karel Michal , 06. červen 2012 08:00 1 komentářů
Odhalena řídící infrastruktura viru Flame, ke staršímu Stuxnetu se přiznala vláda USA

Dnešní hit mezi sofistikovanými špionážními viry, program Flame, postupně vydává svá největší tajemství. K jeho ideovému předchůdci, prvnímu sofistikovanému kódu pro kyberšpionáž, červu Stuxnet se přiznala vláda USA. Stuxnet útočil na počítačové průmyslové systémy, vyvinula jej americká vláda ve spolupráci s Izraelem na kyberútoky proti Iránu.

struktura C&C viru Flame
struktura C&C viru Flame
Virus Flame posílal odcizená data jednomu ze svých řídících serverů (C&C). Vyplývá to z výsledků podrobné výzkumné zprávy společnosti Kaspersky Lab, ta virus poprvé objevila a nyní jeho C&C infrastrukturu intenzivně monitoruje.

Ruský antivirový výrobce zveřejnil odhalení vysoce sofistikovaného škodlivého programu Flame 28. května. Virus byl aktivně využíván jako kybernetická zbraň zacílená na instituce v několika zemích. Flame byl odhalen odborníky z Kaspersky Lab během vyšetřování provedeného na popud Mezinárodní komunikační unie (ITU), jejímž zřizovatelem je Organizace spojených národů. Analýza zákeřného programu potvrdila, že se jedná o dosud nejrozsáhlejší a nejkomplexnější kybernetickou sadu nástrojů.

Výzkumníkům se již podařilo identifikovat většinu škodlivých domén, jež využívala C&C infrastruktura viru Flame.

Výsledky analýzy:

  • Několik let aktivní infrastruktura řídících serverů viru Flame se odpojila ihned poté, co minulý týden Kaspersky Lab zveřejnila odhalení malwaru Flame.

  • V současné době je více než 80 známých domén využíváno virem Flame a jeho řídícími servery a souvisejícími doménami, které byly registrovány v letech 2008 – 2012.

  • Během uplynulých čtyř let se servery hostící řídící infrastrukturu viru Flame přesunovaly mezi různými lokalitami, včetně Hongkongu, Turecka, Německa, Polska, Malajsie, Lotyšska, Spojeného království a Švýcarska.

  • Domény řízené virem Flame byly registrovány od roku 2008 pomocí úctyhodného seznamu falešných identit a s různými správci.

  • Podle společnosti Kaspersky Lab byli infikovaní uživatelé registrováni v několika různých regionech včetně Blízkého východu, Evropy, Severní Ameriky, Asie a Tichomoří.

  • Útočníci stojící za virem Flame se zaměřovali na odcizení zejména elektronických nákresů v PDF a textových formátech a výkresech vytvořených v programu AutoCad.

  • Údaje, které byly virem Flame odeslané na jeho řídící servery jsou zakódované za použití relativně jednoduchých algoritmů. Odcizené dokumenty jsou komprimované využitím otevřeného zdroje Zlib a modifikované komprese PPDM.

  • Operační systém Windows 7 64 bit, jenž Kaspersky Lab v minulosti doporučovala jako dobré řešení odolné vůči ostatnímu malwaru, se zdá být vůči viru Flame účinné

Stuxnet je dílem americké vlády

To alespoň tvrdí deník The New York Times, ten popisuje, jak probíhala více než roční americká špionáž a další digitální útoky na Irán. Podle NYT se mělo jednat o celou sérii sofistikovaných útoků s kódovým označením olympijské hry. Ty pomyslně odstartoval ještě za svého úřadování tehdejší prezident George Bush mladší.

Hlavním cílem útoků byly íránské centrifugy na obohacování uranu ve městě Natanz. Na projektu se podílela také vláda Izraele, ta hlavně do továrny dostala kód zabudovaný v nových dodávaných systémů od Siemensu a v zařízeních nejmenovaného íránského výrobce. Kód mapoval počítačové systémy v průmyslovém objektu, trochu záhadou je, jak se dostávaly data z uzavřeného systému (bez připojení na Internet) zase ven.

Po špionáži systémů byl teprve vyvinut první prototyp červa. Ten byl následně otestován na libyjských systémech, které vláda odevzdala USA po ukončení svého jaderného programu. Následovalo vložení červa do systémů v továrnách v Natanz. První verze se tam měly dostat na USB flashkách, které agenti rozházeli v okolí továrny.

Zde červ infikoval počítače, které řídí centrifugy a ty pak postupně ničil tím, že je roztáčel na příliš vysoké otáčky. Irán sice podle novin intenzivně hledal příčinu problémů, ale až do úniku kódu na Internet se pohyboval pouze po falešné stopě. Na Internet se dostal červ přes notebook jednoho z pracovníků v továrně. Během útoků mělo být vyřazeno z provozu asi 1000 z celkových 5000 centrifug.

Jak se proti podobným situacím bánit? Jednou z možností je použití jiné, než dominantní platformy na běžných počítačích. Ruská federace i Čína již před časem oznámily, že prosazují jako hlavní operační systém ve státní správě obou zemí vlastní distribuce Linuxu. Že by to byla pouze náhoda?


Komentáře

andrej #1
andrej 06. červen 2012 11:18

> První verze se tam měly dostat na USB flaskách, které agenti rozházeli v okolí továrny.

ROFL, zase klasicky social engineering...


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů

O2 spustila volání přes rychlé mobilní sítě LTE

ČTK , 18. leden 2017 12:00

Operátor O2 spustil službu volání v rychlé mobilní síti LTE. Největšími výhodami VoLTE jsou velmi kr...

Více 1 komentářů

Průměrná rychlost mobilního internetu loni stoupla na 23,8 Mbit/s

ČTK , 18. leden 2017 07:00

Průměrná rychlost mobilního internetu v Česku se v loňském roce zvýšila o 39 procent na 23,8 Mbit/s....

Více 0 komentářů

Starší zprávičky

Telefónica má zaplatit 1,7 miliardy Kč Tykačovým firmám

ČTK , 17. leden 2017 15:00

Španělská telekomunikační společnost Telefónica má zaplatit firmám podnikatele Pavla Tykače 1,7 mili...

Více 0 komentářů

Embarcadero oznamuje podporu Desktop Bridge v produktu RAD Studio

ITBiz.cz , 17. leden 2017 12:00

Společnost Embarcadero Technologies (divize společnosti Idera), vedoucí dodavatel softwarových řešen...

Více 0 komentářů

Pokrytí LTE loni stouplo na 98 procent populace

ČTK , 17. leden 2017 07:00

Pokrytí Česka rychlými mobilními sítěmi LTE se loni zvýšilo na 98 procent populace, což je o čtyři p...

Více 0 komentářů

Reuters: Hlavní příčinou potíží telefonů Galaxy Note 7 je baterie

ČTK , 16. leden 2017 14:00

Hlavní příčinou samovzněcování některých chytrých telefonů Galaxy Note 7 byla baterie. Podle zdroje ...

Více 0 komentářů