Flamer: najbardziej zaawansowany wirus komputerowy w historii dziełem USA i Izraela?

Redaktorzy Washington Post powołując się na swoje źródła donoszą, że odkryty w maju szkodnik Flamer działał pod kontrolą wywiadów USA i Izraela. Z tak bardzo zaawansowanym i rozbudowanym narzędziem do cyberinfiltracji, zdaniem firm zajmujących się bezpieczeństwem, jeszcze nie mieliśmy do czynienia.

Wirusy to często stosowany synonim dla wszelkiego typu niebezpiecznych szkodników komputerowych, które mają na celu działalność destrukcyjną lub szpiegowską. W 2010 roku po odkryciu szkodnika Stuxnet, który wydostał się z zainfekowanych systemów w irańskiej elektrowni Natanz, ogłosiliśmy nadejście nowej ery cyberwojen. Stuxnet powiązano z programem Olympic Games, który uruchomiono jeszcze za administracji prezydenta Georga W. Busha.

Kto by jednak przypuszczał, że to tylko wierzchołek góry lodowej, która w znacznie większym stopniu ukazała się światu dopiero w ubiegłym miesiącu. Szkodnik otrzymał nazwy kodowe W32.Flamer (Symantec) lub Flame (Kaspersky).

Zdaniem Pawła Wojciechowskiego, dyrektora technicznego z polskiego biura Symanteca:

„W32.Flamer jest postrzegany przez centrum Symantec Security Response za jedno z najbardziej złożonych zagrożeń wykrytych do tej pory. W32.Flamer jest wielofunkcyjnym narzędziem szpiegowskim, które umożliwiało kradzież dokumentów, pozwalało na kopiowanie zrzutów z ekranu i rozprzestrzeniła się w szczególności poprzez napędy USB. A to tylko kilka przykładowych cech W32.Flamer. Rozmiar kodu jest niespotykany do tej pory i kilkakrotnie większy od Stuxnet i Duqu. Dodając do tego modułową budowę W32.Flamer, możemy stwierdzić, że specjaliści z firmy Symantec nigdy do tej pory nie spotkali się z tak złożonym zagrożeniem użytym w ukierunkowanych atakach (ADT). Jeżeli weźmiemy również pod uwagę fakt, że atak był bardzo ukierunkowany to odpowiadając na pytanie, jego wykrycie nie było łatwe.”

Kod Flamera jest bardzo skomplikowany, podzielony na moduły, które w przypadku całkowicie zainfekowanej maszyny zajmują nawet 20 MB. Szkodnik nie maskował swojej obecności w szczególny sposób, a komunikacja z centrami kontroli (Command & Control) była szyfrowana protokołem SSL.

Dzięki temu, że był to bardzo ukierunkowany atak, wykorzystujący słabości atakowanego systemu, potrafił pozostać tak długo nie wykryty. Flamer jest określany przez Symantec jako:

„… wielofunkcyjne narzędzie służące do szpiegowania. Można go nazwać cyberszpiegiem, natomiast nie wykryto jego działalności destrukcyjnej. Jest możliwe, że informacje zgromadzone przez Flamera mogą być wykorzystywane stworzenia zagrożenia destrukcyjnego typu Stuxnet. Istnieje również możliwość, przekształcenia Flamera w narzędzie destrukcyjne poprzez przesłanie do niego odpowiedniego moduły/kodu. Ale nie zostało to jak do tej pory zaobserwowane.”

Na początku czerwca wiele instalacji Flamera otrzymało rozkaz usunięcia się z zainfekowanych systemów.

Zakres działań szpiegowskich Flamera obejmował praktycznie każdą aktywność, która wymagała korzystania z komputera. Kliknij, aby zobaczyć pełną listę.

Po wykryciu Flamera udało się ustalić, że atakował on przede wszystkim systemy w krajach na Bliskim Wschodzie, a przede wszystkim w Iranie. Symantec, który jako jedna z firm zajmujących się bezpieczeństwem mocno jest zaangażowany w walkę z Flamerem, uważa, że:

„Biorąc pod uwagę stopień skomplikowania Flamera musiał on być stworzony przez dobrze zorganizowany, z dużym zapleczem finansowym zespół osób. Prawdopodobieństwo zaangażowania państwa w rozwój Flamera jest wysokie. Są to tylko jednak przypuszczenia nie poparte dowodami. Firma Symantec nie będzie spekulować na temat motywacji lub konkretnych stron, które mogły być zaangażowane.”

Tymczasem na łamach opiniotwórczego dziennika Washington Post, który już niejednokrotnie przyczynił się ujawnienia afer w polityce, pojawiły się bardzo mocne słowa, z których wynika, że Flamer stworzyły USA i Izrael. Swoją działalność Flamer rozpoczął prawdopodobnie już 5 lat temu.

Kraje, gdzie dokonano ataków. Co ciekawe, Izrael również jest na liście.

Wykrycie Flamera możliwe stało się, podobnie jak w przypadku Stuxneta, dzięki przypadkowi. Tym razem jak donosi Washington Post, "winnym" są służby izraelskie, które nie koordynując działa z wywiadem USA, podjęły niezbyt szkodliwą próbę ataku na irański przemysł naftowy. Ta właśnie aktywność nie umknęła uwadze firm zajmujących się bezpieczeństwem w cyberprzestrzeni.

W artykule na stronie Washington Post możemy przeczytać, że prawdopodobnie istnieją jeszcze bardziej zaawansowane narzędzia niż Flamer. Choć są to spekulacje, nie można ich ignorować. Wystarczy zauważyć, że sam Flamer wykorzystywał do rozprzestrzeniania się mechanizmy uznawane za bezpieczne - automatyczną aktualizację Windows czy „… lukę w Terminal Services licensing CA w systemie Windows. Usługa ta standardowo jest używana tylko do weryfikacji serwera licencji, ale może być również używana do podpisywania kodu wykonywalnego.”

Microsoft wydał na początku czerwca stosowne poprawki, unieważniające szkodliwe certyfikaty. Flamer to także pierwszy Windowsowy szkodnik, który wykorzystuje technologię Bluetooth.

Jak widać, choć problem wiązany jest lokalnie z Bliskim Wschodem, to ma skalę ogólnoświatową. Jednak przeciętnemu użytkownikowi peceta Flamer nie powinien spędzać snu z oczu. Oczywiście, na wszelki wypadek, nie należy zapominać o stosowaniu zaktualizowanych wersji oprogramowania zabezpieczającego.

Więcej o bezpieczeństwie:

• UEFA Euro 2012: Norton ostrzega przed oszustwami internetowymi związanymi z turniejem
• Kaspersky Lab: nie podajemy swoich danych osobowych na portalach społecznościowych
• Strażnik Ucznia: nowy program do filtrowania Internetu - chroń swoje dziecko w sieci - cena
• ProASIC3: wykryto układ z tylnymi drzwiami - można przejąć nad nim kontrolę
• Kaspersky: 600 000 Maców zarażonych botnetem Flashfake/Flashback

Źródło: Washington Post, Symantec, Kaspersky, Inf. własna, foto: Karol Żebruń