Raffineret malware plager: Flame stjæler filer, optager lyd og billede

29. maj 2012 kl. 09:057
En ny, avanceret malware i familie med Stuxnet og Duqu hærger i øjeblikket især i Mellemøsten. Meget tyder på et særdeles målrettet angreb.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den har formentlig eksisteret siden 2010, men dukkede først op til overfleaden i løbet af pinsen. It-sikkerhedsfirmaer beretter samstemmende om en yderst avanceret malware ved navn Flame eller Skywiper, der blandt andet kan indsamle følsomme data og optage lyd og billede fra en inficeret pc.

Sikkerhedsfirmaet CSIS beretter, at der er tale om en såkaldt Advanced Persistent Threat, og at Flame med stor sandsynlighed er udviklet af de samme personer, som stod bag Duqu-trojaneren, der også er relateret til Stuxnet-trojaneren.

Flame fylder omkring 17 megabyte inklusive diverse biblioteker og en LUA virtuel maskine. CSIS skriver i en e-mail, at det netop er i den del af koden, som er udviklet i LUA, at man har fundet flere referencer til til "flame_props," som altså har givet malwaren navn.

Flame er i stand til at optage lyd og billede gennem den inficerede maskines indbyggede mikrofon og kamera. Samtidig høster den data fra maskinen, som den sender tilbage til kommando- og kontrol-serveren (C&C-serveren) via SSL.

Artiklen fortsætter efter annoncen

Symantec oplyser, at Flame kan, stjæle dokumenter, tage screenshots af brugernes computere, sprede sig via USB-drev, daktivere sikkerhedsprodukter samt sprede sig til andre systemer under visse betingelser.

»Dette er den mest sofistikerede trussel, vi har set til dato,« udtaler sikkerhedsekspert Peter Schjøtt fra Symantec i en pressemeddelelse

»Koden er betydelig større og mere kompleks end det, vi tidligere har set i internet-ormene Stuxnet og Duqu, og Flamers evne til at stjæle fortrolige oplysninger er også massiv. Ligesom Duqu og Stuxnet er denne kode sandsynligvis ikke skrevet af en enkelt person, men af en organiseret, finansieret gruppe af mennesker, der arbejder efter et defineret forskrift,« fortsætter han.

Selvom Antivirus-firmaerne først i løbet af søndag og mandag har udsendt advarsler om Flame, har CSIS' analyse af komponenterne vist, at delelementer har været i omløb lige siden starten af 2010.

Artiklen fortsætter efter annoncen

Til gengæld tyder meget på, at at Flame er ekstremt målrettet. Pcmag.com citerer sikkerhedsfirmaet Kaspersky for 189 kramte maskiner, hvor langt hovedparten befinder sig i Mellemøsten og især i Iran.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
29. maj 2012 kl. 13:52

"A Government-Backed Cyber Weapon?"

"According to Kaspersky's chief malware expert Vitaly Kamluk, the size and sophistication of Flame suggested it was not the work of independent cybercriminals, but more likely to be government-backed."

"The countries that have been targeted by Flame malware include Iran, Israel, Sudan, Syria, Lebanon, Saudi Arabia and Egypt."

http://www.ibtimes.com/articles/346268/20120529/flame-world-complicated-cyber-espionage-malware.htm

NB! Ganske interessant er det også: at Flame afinstallerer sig selv, hvis maskinen(-erne) ikke er interessante.

5
29. maj 2012 kl. 13:44

Dugfrisk artikel med flere detaljer om Flame/Flamer/sKyWIper:

http://hackmageddon.com/2012/05/28/a-flame-on-the-cyberwarfare-horizon/

"The Cyber Weapon Malware is a sophisticated attack toolkit, It is a backdoor, a Trojan, and has worm-like features (three in one). According to Kaspersky its development has taken a couple of years and it will probably take year to fully understand the 20MB of code of Flame."

4
29. maj 2012 kl. 10:10

@Christian Både Stuxnet og "Flame" var/er dedikeret windows miljøet. Stuxnet inficerede ultimativt de windows maskiner som under udnyttelse af WinCC stod for konfigurationen af de enkelte centrifuger.

3
29. maj 2012 kl. 10:09

Stuxnet er også en Windows virus, der bl.a. kan sprede sig via USB-drev. Men den har lidt mere i posen, idet den kan fifle med PLC programmerne til Siemens PLC.

Man bruger en Windows-maskine til overvågning af PLC'erne. Det er via overvågningsprogrammet at Stuxnet kan tilgå PLC'erne. Stuxnet kører kun på Windows, men den kan ændre på koden på PLC'erne, for at forvolde skade der.

2
29. maj 2012 kl. 10:02

Oftes skrives vira i C++, efter hvad jeg har set af kildekoder til vira. Det er gerne de meget dybe sprog der bruges.

1
29. maj 2012 kl. 09:49

Hvad skrived disse virusser i? Assembler? Jeg har igen ide derfor jeg spøger. For så vidt jeg husker blev stuxnet kørt på special byggede management maskiner, til centrifuger til atom kraftværk. Men denne virus som man tror er udviklet af de samme mennesker kører (ud fra billedet) på en Windows maskine.

Så hvordan kan denne virus "overleve" på alt åbenbart.