Dnešní hit mezi sofistikovanými špionážními viry, program Flame, postupně vydává svá největší tajemství. K jeho ideovému předchůdci, prvnímu sofistikovanému kódu pro kyberšpionáž, červu Stuxnet se přiznala vláda USA. Stuxnet útočil na počítačové průmyslové systémy, vyvinula jej americká vláda ve spolupráci s Izraelem na kyberútoky proti Iránu.
Virus Flame posílal odcizená data jednomu ze svých řídících serverů (C&C). Vyplývá to z výsledků podrobné výzkumné zprávy společnosti Kaspersky Lab, ta virus poprvé objevila a nyní jeho C&C infrastrukturu intenzivně monitoruje.
Ruský antivirový výrobce zveřejnil odhalení vysoce sofistikovaného škodlivého programu Flame 28. května. Virus byl aktivně využíván jako kybernetická zbraň zacílená na instituce v několika zemích. Flame byl odhalen odborníky z Kaspersky Lab během vyšetřování provedeného na popud Mezinárodní komunikační unie (ITU), jejímž zřizovatelem je Organizace spojených národů. Analýza zákeřného programu potvrdila, že se jedná o dosud nejrozsáhlejší a nejkomplexnější kybernetickou sadu nástrojů.
Výzkumníkům se již podařilo identifikovat většinu škodlivých domén, jež využívala C&C infrastruktura viru Flame.
Výsledky analýzy:
-
Několik let aktivní infrastruktura řídících serverů viru Flame se odpojila ihned poté, co minulý týden Kaspersky Lab zveřejnila odhalení malwaru Flame.
-
V současné době je více než 80 známých domén využíváno virem Flame a jeho řídícími servery a souvisejícími doménami, které byly registrovány v letech 2008 – 2012.
-
Během uplynulých čtyř let se servery hostící řídící infrastrukturu viru Flame přesunovaly mezi různými lokalitami, včetně Hongkongu, Turecka, Německa, Polska, Malajsie, Lotyšska, Spojeného království a Švýcarska.
-
Domény řízené virem Flame byly registrovány od roku 2008 pomocí úctyhodného seznamu falešných identit a s různými správci.
-
Podle společnosti Kaspersky Lab byli infikovaní uživatelé registrováni v několika různých regionech včetně Blízkého východu, Evropy, Severní Ameriky, Asie a Tichomoří.
-
Útočníci stojící za virem Flame se zaměřovali na odcizení zejména elektronických nákresů v PDF a textových formátech a výkresech vytvořených v programu AutoCad.
-
Údaje, které byly virem Flame odeslané na jeho řídící servery jsou zakódované za použití relativně jednoduchých algoritmů. Odcizené dokumenty jsou komprimované využitím otevřeného zdroje Zlib a modifikované komprese PPDM.
-
Operační systém Windows 7 64 bit, jenž Kaspersky Lab v minulosti doporučovala jako dobré řešení odolné vůči ostatnímu malwaru, se zdá být vůči viru Flame účinné
Stuxnet je dílem americké vlády
To alespoň tvrdí deník The New York Times, ten popisuje, jak probíhala více než roční americká špionáž a další digitální útoky na Irán. Podle NYT se mělo jednat o celou sérii sofistikovaných útoků s kódovým označením olympijské hry. Ty pomyslně odstartoval ještě za svého úřadování tehdejší prezident George Bush mladší.
Hlavním cílem útoků byly íránské centrifugy na obohacování uranu ve městě Natanz. Na projektu se podílela také vláda Izraele, ta hlavně do továrny dostala kód zabudovaný v nových dodávaných systémů od Siemensu a v zařízeních nejmenovaného íránského výrobce. Kód mapoval počítačové systémy v průmyslovém objektu, trochu záhadou je, jak se dostávaly data z uzavřeného systému (bez připojení na Internet) zase ven.
Po špionáži systémů byl teprve vyvinut první prototyp červa. Ten byl následně otestován na libyjských systémech, které vláda odevzdala USA po ukončení svého jaderného programu. Následovalo vložení červa do systémů v továrnách v Natanz. První verze se tam měly dostat na USB flashkách, které agenti rozházeli v okolí továrny.
Zde červ infikoval počítače, které řídí centrifugy a ty pak postupně ničil tím, že je roztáčel na příliš vysoké otáčky. Irán sice podle novin intenzivně hledal příčinu problémů, ale až do úniku kódu na Internet se pohyboval pouze po falešné stopě. Na Internet se dostal červ přes notebook jednoho z pracovníků v továrně. Během útoků mělo být vyřazeno z provozu asi 1000 z celkových 5000 centrifug.
Jak se proti podobným situacím bánit? Jednou z možností je použití jiné, než dominantní platformy na běžných počítačích. Ruská federace i Čína již před časem oznámily, že prosazují jako hlavní operační
systém ve státní správě obou zemí vlastní distribuce Linuxu. Že by to byla pouze náhoda?
