Odkryto nową, zaawansowaną cyberbroń

Kaspersky Lab i Symantec, firmy zajmujące się internetowym bezpieczeństwem poinformowały wczoraj o wykryciu wysoce wyrafinowanego programu, który jest  wykorzystywany jako cyberbroń atakująca komputery rządowe w kilku państwach. Pod względem złożoności i funkcjonalności nowo wykryta aplikacja przewyższa wszystkie inne znane do tej pory zagrożenia cybernetyczne.

Szkodliwe oprogramowanie zostało wykryte przez ekspertów z Kaspersky Lab podczas dochodzenia prowadzonego na prośbę Międzynarodowego Związku Telekomunikacyjnego (ITU), agencji Organizacji Narodów Zjednoczonych. Szkodnik, nazwany przez ekspertów ds. bezpieczeństwa z Kaspersky Lab orm.Win32.Flame, potrafi kraść cenne informacje, w tym kopiować zawartość ekranu komputera, przechowywane pliki, dane kontaktowe, a nawet nagrywać rozmowy audio.

Flame został odkryty przypadkowo, przy okazji badania przez ITU oraz Kaspersky Lab serii incydentów z udziałem innego szkodliwego programu – Wipera – który usuwał dane z wielu komputerów w Zachodniej Azji.

Analitycy uważają, że Flame działa przynajmniej od ponad dwóch lat – od marca 2010 r.

Wysoka złożoność aplikacji, jak również ukierunkowany charakter jego ataków, utrudniały wykrycie go przez oprogramowanie bezpieczeństwa.

Złośliwy program wykryli również eksperci z Symanteca. Według nich Flame działał co najmniej od sierpnia 2010 roku. W tym czasie zupełnie niewykryty penetrował komputery w Arabii Saudyjskiej, Egipcie, Iranie, Izraelu, Libanie, Sudanie i Syrii. Mógł zainfekować nawet 5000 komputerów - głównie należących do instytucji rządowych, badawczych i firm.

Chociaż cechy robaka Flame różnią się od znanych do tej pory groźnych cyberbroni, takich jak Duqu czy Stuxnet, geografia ataków, wykorzystanie określonych luk w zabezpieczeniach oprogramowania oraz fakt, że atakowane są tylko wybrane komputery – pozwalają klasyfikować Flame'a do kategorii cyberbroni.

Komentując odkrycie robaka Flame, Jewgienij Kasperski, dyrektor generalny Kaspersky Lab, powiedział: „Działania o charakterze cyberwojennym od kilku lat stanowią jeden z najpoważniejszych problemów w dziedzinie bezpieczeństwa informacji. Stuxnet i Duqu należały do łańcucha ataków, który na całym świecie wywołał obawy związane z cyberwojną. Szkodnik Flame wydaje się być kolejną fazą w tej wojnie. W tej sytuacji należy mieć świadomość, że tego rodzaju cyberbroń może zostać łatwo użyta przeciwko dowolnemu państwu. W przeciwieństwie do konwencjonalnych działań wojennych, najbardziej rozwinięte państwa są w tym przypadku najbardziej zagrożone".

Głównym celem Flame'a wydaje się być cyberszpiegostwo poprzez kradzież informacji z zainfekowanych maszyn. Informacje te są następnie wysyłane do sieci serwerów kontrolowanych przez cyberprzestępców, zlokalizowanych w wielu regionach świata.

Różnorodność podlegających kradzieży informacji, obejmujących dokumenty, zrzuty ekranu, nagrania audio oraz przechwytywanie ruchu sieciowego, czyni tego szkodnika jednym z najbardziej zaawansowanych zestawów do przeprowadzania ataków, jakie kiedykolwiek zostały wykryte. Dokładna metoda infekcji nie została jeszcze zidentyfikowana, jednak już teraz wiadomo, że Flame potrafi rozprzestrzeniać się za pośrednictwem sieci lokalnej przy użyciu kilku metod, łącznie z wykorzystywaniem luk w zabezpieczeniach sterowników drukarek oraz infekowaniem urządzeń poprzez interfejs USB, które stosował Stuxnet.

- Jednym z najbardziej niepokojących faktów jest to, że kampania cyberataków z udziałem robaka Flame znajduje się obecnie w aktywnej fazie, a przeprowadzające ją osoby nieustannie nadzorują zainfekowane systemy, gromadząc informacje i atakując nowe systemy w celu osiągnięcia nieznanych celów - powiedział Alexander Gostew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab,