Flame - cyberzagrożenie atakujące kraje Bliskiego Wschodu

Szkodliwe oprogramowanie zostało wykryte przez ekspertów z Kaspersky Lab podczas dochodzenia prowadzonego na prośbę Międzynarodowego Związku Telekomunikacyjnego (ITU), agencji Organizacji Narodów Zjednoczonych. Szkodnik, wykrywany przez ekspertów ds. bezpieczeństwa z Kaspersky Lab jako Worm.Win32.Flame, został stworzony w celu przeprowadzania cyberszpiegostwa. Robak potrafi kraść cenne informacje, w tym zawartość wyświetlaną na ekranie komputera, informacje o atakowanych systemach, przechowywane pliki, dane kontaktowe, a nawet rozmowy audio.

Niezależne badanie zostało zapoczątkowane przez ITU oraz Kaspersky Lab po serii incydentów z udziałem innego, wciąż nieznanego, destruktywnego szkodliwego programu - określonego jako Wiper - który usuwał dane na wielu komputerach w Zachodniej Azji. Szkodnik ten nie został jeszcze wykryty, jednak podczas analizy tych incydentów, we współpracy z ITU, eksperci z Kaspersky Lab natrafili na nowy rodzaj szkodliwego oprogramowania, znanego teraz pod nazwą Flame. Wstępne wyniki wskazują, że szkodnik ten istniał "na wolności" od ponad dwóch lat - od marca 2010 r. Wysoka złożoność tego zagrożenia, jak również ukierunkowany charakter jego ataków, uniemożliwiły automatyczne wykrycie go przez oprogramowanie bezpieczeństwa.

Chociaż cechy robaka Flame różnią się od znanych do tej pory groźnych cyberbroni, takich jak Duqu czy Stuxnet, geografia ataków, wykorzystanie określonych luk w zabezpieczeniach oprogramowania oraz fakt, że atakowane są tylko wybrane komputery - wszystko to świadczy o tym, że Flame należy do tej samej kategorii super-cyberbroni.

- Działania o charakterze cyberwojennym od kilku lat stanowią jeden z najpoważniejszych problemów w dziedzinie bezpieczeństwa informacji. Stuxnet i Duqu należały do łańcucha ataków, który na całym świecie wywołał obawy związane z cyberwojną. Szkodnik Flame wydaje się być kolejną fazą w tej wojnie. W tej sytuacji należy mieć świadomość, że tego rodzaju cyberbroń może zostać łatwo użyta przeciwko dowolnemu państwu. W przeciwieństwie do konwencjonalnych działań wojennych, najbardziej rozwinięte państwa są w tym przypadku najbardziej zagrożone - skomentował odkrycie robaka Flame, Jewgienij Kasperski, dyrektor generalny Kaspersky Lab.

Głównym celem Flame'a wydaje się być cyberszpiegostwo poprzez kradzież informacji z zainfekowanych maszyn. Informacje te są następnie wysyłane do sieci serwerów kontrolowanych przez cyberprzestępców, zlokalizowanych w wielu różnych regionach na świecie. Różnorodność podlegających kradzieży informacji, obejmujących dokumenty, zrzuty ekranu, nagrania audio oraz przechwytywanie ruchu sieciowego, czyni tego szkodnika jednym z najbardziej zaawansowanych i kompletnych zestawów do przeprowadzania ataków, jakie kiedykolwiek zostały wykryte.

Dokładna metoda infekcji nie została jeszcze zidentyfikowana, jednak już teraz wiadomo, że Flame potrafi rozprzestrzeniać się za pośrednictwem sieci lokalnej przy użyciu kilku metod, łącznie z wykorzystywaniem luk w zabezpieczeniach sterowników drukarek oraz infekowaniem urządzeń USB, które stosował Stuxnet.

- Wstępne wyniki badania, przeprowadzonego na pilne zlecenie ITU, potwierdzają, że ataki tego szkodnika są wysoce ukierunkowane. Jednym z najbardziej niepokojących faktów jest to, że kampania cyberataków z udziałem robaka Flame znajduje się obecnie w aktywnej fazie, a przeprowadzające ją osoby nieustannie nadzorują zainfekowane systemy, gromadząc informacje i atakując nowe systemy w celu osiągnięcia nieznanych celów - powiedział Alexander Gostew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab.

Eksperci z Kaspersky Lab przeprowadzają obecnie szczegółową analizę Flame'a i w najbliższych dniach pojawi się więcej szczegółów dotyczących tego nowego zagrożenia. Na razie wiadomo, że robak ten składa się z wielu modułów i tworzy go kilka megabajtów kodu wykonywalnego - przez co jego rozmiar jest około 20 razy większy niż rozmiar Stuxneta. Oznacza to, że przeanalizowanie tej cyberbroni wymaga licznego zespołu ekspertów ds. bezpieczeństwa oraz inżynierii wstecznej posiadających ogromne doświadczenie w dziedzinie obrony przed cyberzagrożeniami.

Międzynarodowy Związek Telekomunikacyjny zastosuje swoją sieć ITU-IMPACT, obejmującą 142 kraje i kilka firm stanowiących rynkowych liderów w swoich branżach, łącznie z Kaspersky Lab, do ostrzeżenia rządów i społeczności technologicznej o nowym cyberzagrożeniu. Dodatkowo, sieć ITU-IMPACT wspomoże i przyspieszy analizę techniczną nowego zagrożenia.