Raffineret malware plager: Flame stjæler filer, optager lyd og billede

En ny, avanceret malware i familie med Stuxnet og Duqu hærger i øjeblikket især i Mellemøsten. Meget tyder på et særdeles målrettet angreb.

Den har formentlig eksisteret siden 2010, men dukkede først op til overfleaden i løbet af pinsen. It-sikkerhedsfirmaer beretter samstemmende om en yderst avanceret malware ved navn Flame eller Skywiper, der blandt andet kan indsamle følsomme data og optage lyd og billede fra en inficeret pc.

Sikkerhedsfirmaet CSIS beretter, at der er tale om en såkaldt Advanced Persistent Threat, og at Flame med stor sandsynlighed er udviklet af de samme personer, som stod bag Duqu-trojaneren, der også er relateret til Stuxnet-trojaneren.

Flame fylder omkring 17 megabyte inklusive diverse biblioteker og en LUA virtuel maskine. CSIS skriver i en e-mail, at det netop er i den del af koden, som er udviklet i LUA, at man har fundet flere referencer til til "flame_props," som altså har givet malwaren navn.

Flame er i stand til at optage lyd og billede gennem den inficerede maskines indbyggede mikrofon og kamera. Samtidig høster den data fra maskinen, som den sender tilbage til kommando- og kontrol-serveren (C&C-serveren) via SSL.

Symantec oplyser, at Flame kan, stjæle dokumenter, tage screenshots af brugernes computere, sprede sig via USB-drev, daktivere sikkerhedsprodukter samt sprede sig til andre systemer under visse betingelser.

»Dette er den mest sofistikerede trussel, vi har set til dato,« udtaler sikkerhedsekspert Peter Schjøtt fra Symantec i en pressemeddelelse

»Koden er betydelig større og mere kompleks end det, vi tidligere har set i internet-ormene Stuxnet og Duqu, og Flamers evne til at stjæle fortrolige oplysninger er også massiv. Ligesom Duqu og Stuxnet er denne kode sandsynligvis ikke skrevet af en enkelt person, men af en organiseret, finansieret gruppe af mennesker, der arbejder efter et defineret forskrift,« fortsætter han.

Selvom Antivirus-firmaerne først i løbet af søndag og mandag har udsendt advarsler om Flame, har CSIS' analyse af komponenterne vist, at delelementer har været i omløb lige siden starten af 2010.

Til gengæld tyder meget på, at at Flame er ekstremt målrettet. Pcmag.com citerer sikkerhedsfirmaet Kaspersky for 189 kramte maskiner, hvor langt hovedparten befinder sig i Mellemøsten og især i Iran.

Følg forløbet

Kommentarer (7)

Cristian Ambæk

Hvad skrived disse virusser i? Assembler? Jeg har igen ide derfor jeg spøger.
For så vidt jeg husker blev stuxnet kørt på special byggede management maskiner, til centrifuger til atom kraftværk. Men denne virus som man tror er udviklet af de samme mennesker kører (ud fra billedet) på en Windows maskine.

Så hvordan kan denne virus "overleve" på alt åbenbart.

Kasper Pedersen

Oftes skrives vira i C++, efter hvad jeg har set af kildekoder til vira.
Det er gerne de meget dybe sprog der bruges.

Per Michael Jensen

Stuxnet er også en Windows virus, der bl.a. kan sprede sig via USB-drev. Men den har lidt mere i posen, idet den kan fifle med PLC programmerne til Siemens PLC.

Man bruger en Windows-maskine til overvågning af PLC'erne. Det er via overvågningsprogrammet at Stuxnet kan tilgå PLC'erne. Stuxnet kører kun på Windows, men den kan ændre på koden på PLC'erne, for at forvolde skade der.

Johnny Vestergaard

@Christian Både Stuxnet og "Flame" var/er dedikeret windows miljøet. Stuxnet inficerede ultimativt de windows maskiner som under udnyttelse af WinCC stod for konfigurationen af de enkelte centrifuger.

Preben Høj Holmberg

Dugfrisk artikel med flere detaljer om Flame/Flamer/sKyWIper:

http://hackmageddon.com/2012/05/28/a-flame-on-the-cyberwarfare-horizon/

"The Cyber Weapon Malware is a sophisticated attack toolkit, It is a backdoor, a Trojan, and has worm-like features (three in one). According to Kaspersky its development has taken a couple of years and it will probably take year to fully understand the 20MB of code of Flame."

Preben Høj Holmberg

"A Government-Backed Cyber Weapon?"

"According to Kaspersky's chief malware expert Vitaly Kamluk, the size and sophistication of Flame suggested it was not the work of independent cybercriminals, but more likely to be government-backed."

"The countries that have been targeted by Flame malware include Iran, Israel, Sudan, Syria, Lebanon, Saudi Arabia and Egypt."

http://www.ibtimes.com/articles/346268/20120529/flame-world-complicated-...

NB!
Ganske interessant er det også: at Flame afinstallerer sig selv,
hvis maskinen(-erne) ikke er interessante.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen