Odhalena řídící infrastruktura viru Flame, ke staršímu Stuxnetu se přiznala vláda USA

Karel Michal , 06. červen 2012 08:00 1 komentářů
Odhalena řídící infrastruktura viru Flame, ke staršímu Stuxnetu se přiznala vláda USA

Dnešní hit mezi sofistikovanými špionážními viry, program Flame, postupně vydává svá největší tajemství. K jeho ideovému předchůdci, prvnímu sofistikovanému kódu pro kyberšpionáž, červu Stuxnet se přiznala vláda USA. Stuxnet útočil na počítačové průmyslové systémy, vyvinula jej americká vláda ve spolupráci s Izraelem na kyberútoky proti Iránu.

struktura C&C viru Flame
struktura C&C viru Flame
Virus Flame posílal odcizená data jednomu ze svých řídících serverů (C&C). Vyplývá to z výsledků podrobné výzkumné zprávy společnosti Kaspersky Lab, ta virus poprvé objevila a nyní jeho C&C infrastrukturu intenzivně monitoruje.

Ruský antivirový výrobce zveřejnil odhalení vysoce sofistikovaného škodlivého programu Flame 28. května. Virus byl aktivně využíván jako kybernetická zbraň zacílená na instituce v několika zemích. Flame byl odhalen odborníky z Kaspersky Lab během vyšetřování provedeného na popud Mezinárodní komunikační unie (ITU), jejímž zřizovatelem je Organizace spojených národů. Analýza zákeřného programu potvrdila, že se jedná o dosud nejrozsáhlejší a nejkomplexnější kybernetickou sadu nástrojů.

Výzkumníkům se již podařilo identifikovat většinu škodlivých domén, jež využívala C&C infrastruktura viru Flame.

Výsledky analýzy:

  • Několik let aktivní infrastruktura řídících serverů viru Flame se odpojila ihned poté, co minulý týden Kaspersky Lab zveřejnila odhalení malwaru Flame.

  • V současné době je více než 80 známých domén využíváno virem Flame a jeho řídícími servery a souvisejícími doménami, které byly registrovány v letech 2008 – 2012.

  • Během uplynulých čtyř let se servery hostící řídící infrastrukturu viru Flame přesunovaly mezi různými lokalitami, včetně Hongkongu, Turecka, Německa, Polska, Malajsie, Lotyšska, Spojeného království a Švýcarska.

  • Domény řízené virem Flame byly registrovány od roku 2008 pomocí úctyhodného seznamu falešných identit a s různými správci.

  • Podle společnosti Kaspersky Lab byli infikovaní uživatelé registrováni v několika různých regionech včetně Blízkého východu, Evropy, Severní Ameriky, Asie a Tichomoří.

  • Útočníci stojící za virem Flame se zaměřovali na odcizení zejména elektronických nákresů v PDF a textových formátech a výkresech vytvořených v programu AutoCad.

  • Údaje, které byly virem Flame odeslané na jeho řídící servery jsou zakódované za použití relativně jednoduchých algoritmů. Odcizené dokumenty jsou komprimované využitím otevřeného zdroje Zlib a modifikované komprese PPDM.

  • Operační systém Windows 7 64 bit, jenž Kaspersky Lab v minulosti doporučovala jako dobré řešení odolné vůči ostatnímu malwaru, se zdá být vůči viru Flame účinné

Stuxnet je dílem americké vlády

To alespoň tvrdí deník The New York Times, ten popisuje, jak probíhala více než roční americká špionáž a další digitální útoky na Irán. Podle NYT se mělo jednat o celou sérii sofistikovaných útoků s kódovým označením olympijské hry. Ty pomyslně odstartoval ještě za svého úřadování tehdejší prezident George Bush mladší.

Hlavním cílem útoků byly íránské centrifugy na obohacování uranu ve městě Natanz. Na projektu se podílela také vláda Izraele, ta hlavně do továrny dostala kód zabudovaný v nových dodávaných systémů od Siemensu a v zařízeních nejmenovaného íránského výrobce. Kód mapoval počítačové systémy v průmyslovém objektu, trochu záhadou je, jak se dostávaly data z uzavřeného systému (bez připojení na Internet) zase ven.

Po špionáži systémů byl teprve vyvinut první prototyp červa. Ten byl následně otestován na libyjských systémech, které vláda odevzdala USA po ukončení svého jaderného programu. Následovalo vložení červa do systémů v továrnách v Natanz. První verze se tam měly dostat na USB flashkách, které agenti rozházeli v okolí továrny.

Zde červ infikoval počítače, které řídí centrifugy a ty pak postupně ničil tím, že je roztáčel na příliš vysoké otáčky. Irán sice podle novin intenzivně hledal příčinu problémů, ale až do úniku kódu na Internet se pohyboval pouze po falešné stopě. Na Internet se dostal červ přes notebook jednoho z pracovníků v továrně. Během útoků mělo být vyřazeno z provozu asi 1000 z celkových 5000 centrifug.

Jak se proti podobným situacím bánit? Jednou z možností je použití jiné, než dominantní platformy na běžných počítačích. Ruská federace i Čína již před časem oznámily, že prosazují jako hlavní operační systém ve státní správě obou zemí vlastní distribuce Linuxu. Že by to byla pouze náhoda?


Komentáře

andrej #1
andrej 06. červen 2012 11:18

> První verze se tam měly dostat na USB flaskách, které agenti rozházeli v okolí továrny.

ROFL, zase klasicky social engineering...

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
27. 09. Startup Festival
RSS 

Zprávičky

Tendr na elektronické náramky pro vězně skončil smlouvou

Pavel Houser , 26. září 2017 18:25

V první fázi projektu získá ministerstvo od SuperComu 280 náramků, v dalších 6 letech bude moci využ...

Více 0 komentářů

Vláda schválila koncepci digitalizace českého stavebnictví

ČTK , 26. září 2017 10:00

Metoda BIM má uspořit náklady na pořizování a rekonstrukce staveb a jejich provozování. ...

Více 0 komentářů

Deloitte se stala obětí hackerského útoku, trval delší dobu

ČTK , 26. září 2017 09:00

Hackerům stačilo prolomit jen jedno heslo, systém ověření ve dvou krocích se nepoužíval. Firmě unikl...

Více 0 komentářů

Starší zprávičky

Sony DADC má na Plzeňsku nové distribuční centrum pro Evropu

ČTK , 26. září 2017 08:00

V průmyslové zóně v Nýřanech vznikly kromě skladových prostor také dvě patra kanceláří a high-tech v...

Více 0 komentářů

EK:Digitální firmy platí poloviční daně oproti tradičním podnikům

ČTK , 25. září 2017 09:00

Krátkodobá řešení podle návrhu zahrnují např. zdanění digitálních podniků na základě jejich tržeb, n...

Více 0 komentářů

Hewlett Packard Enterprise propustí asi 5 000 lidí

ČTK , 25. září 2017 08:00

Plánované zrušení 10 % pracovních míst by mohlo být předehrou k dalšímu snižování počtu zaměstnanců....

Více 0 komentářů

Mobilní platby: Jak si ČR stojí ve srovnání s Evropou

Pavel Houser , 24. září 2017 09:00

Biometrii Češi považují za nejvhodnější formu ověření platby....

Více 0 komentářů