Bármire képes kémprogramot szabadítottak a világra
Szinte mindenre képes kémprogramot talált a Kaspersky információbiztonsági cég. A Flame, magyarul Láng nevű program szinte bármire képes: érzékeli, ha valaki e-mailt ír vagy chatelni kezd, és arról képet küld „haza”, vagy a számítógép mikrofonját aktiválva hangfelvételt készít, azt elmenti, tömöríti, majd továbbítja a támadónak. A program figyeli a hálózat forgalmát, és képes a leütött billentyűket is rögzíteni. Az orosz cég munkatársai szerint „ez a legösszetettebb támadás, amelyet valaha észleltünk.” A Kaspersky szerint 2010 augusztusa óta biztosan aktív a program, ám valószínű, hogy már öt éve működik.
A legtöbb fertőzött gép Iránban és Izraelben van, ám megtalálták a nyomát Szudánban, Szíriában, Libanonban, Szaúd-Arábiában és Egyiptomban is. Körülbelül ötezer számítógépet fertőztek meg vele, nagy részük egyetemeken, kutatóintézetekben és üzleti vállalkozásokban működik. Találtak néhány vírusos gépet Észak-Amerikában is.
Az orosz cég szakemberei szerint biztos, hogy ilyen program kifejlesztésére csak valamely ország kormányának van lehetősége, de nem tudják, melyik lehetett az. „A fenyegetés összetettsége és a célpontok földrajzi elhelyezkedése nem hagy kétséget afelől, hogy valamely nemzetállam fizette a kutatást, amely kifejlesztette ezt az eszközt” mondta Vitalij Kamluk, a cég szakértője a BBC-nek.
„Ipari méretű porszívó, amivel érzékeny információkat lehet gyűjteni” – így foglalta össze a program lényegét Alan Woodward. A Surrey Egyetem professzora szerint a kémszoftver komoly támadást jelent. Elmondta: a Flame az iráni nukleáris dúsítót megtámadó Stuxnetnél is sokkal fejlettebb (emögött Izraelt és az Egyesült Államokat gyanítják, ám azok tagadják a vádat). A Stuxnetet ugyanis egyetlen feladat végrehajtására fejlesztették ki, míg a Flame egy teljes eszköztár, amely szinte bármire képes, amit a támadó akar. Ha pedig a program már megfertőzött egy gépet, onnantól fokozatosan lehet azt fejleszteni új alkalmazásokkal, pontosan úgy, mint ahogy az okostelefonokra újabb és újabb apró programokat, applikációkat lehet könnyedén letölteni.
Magyarok is vizsgálták a Flame-et
A Budapesti Műszaki Egyetemen (BME) tevékenykedő Adat- és Rendszerbiztonság Laboratórium (CrySyS Lab) is vizsgálta a vírust egy nemzetközi együttműködés keretében. A csoport közleményében azt írja, hogy az általuk sKyWIper néven ismert malware Európát, sőt Magyarországot is fenyegeti. A CrySys Lab készített egy elemzést is a vírsuról.
"Az elemzésünk publikálása előtt értesítettük a főbb antivírusgyártó cégeket, a magyar CERT-et, és más illetékes szervezeteket. Emellett, a publikációval egyidőben megosztottuk a rendelkezésünkre álló malware mintákat az antivírusgyártó cégekkel, hogy a megfelelő detekciók azonnal belekerülhessenek a termékeikbe. A továbbiakban is készek vagyunk az együttműködésre a sKyWIper malware technikai analízisében, illetve a releváns információk megosztásában az erre illetékes szervezetekkel" írja a közlemény a szervezet honalpján. A szöveget azzal frissítették: "A legújabb hírek szerint úgy tűnik, hogy a sKyWIper malware megegyezik a Kaspersky Labs által felfedezett “Flame”-mel (Kaspersky report) és az iráni nemzeti CERT (MAHER) által “Flamer”-nek (MAHER CERT news) nevezett malware-rel.
A CrySys Lab fedezte fel, elemezte és nevezte el a Duqu néven ismertté vált vírust is, amely szintén titokban gyűjtött adatokat. A Duqu készítői feltehetőleg ugyanazok voltak, vagy kapcsolatban álltak a Stuxnet tervezőivel.
A Reuters szerint sem a Kaspersky, sem a CrySyS Lab nem tudja egyelőre megmondani, hogy vajon képes lehet-e a Flame rombolásra, adatok törlésére vagy arra, hogy kárt tegyen az infrastruktúrában (a Stuxnet az urándósító centrifugákban tett kárt, míg a Duqu "csak" adatokat gyűjtött). Mivel még nem volt idejük a vírus részletes elemzésére, ezért azt sem tudják megmondani, volt-e kifejezett cél, amelyre létrehozták, és ha igen, mi lehetett az. A Stuxnet esetében hónapokba telt, mire rájöttek, mi a célja.
A Kaspersky szerint egyébként a Flame ugyanazt a hibáját használha ki a Windowsnak, amelyet a Stuxnet is, és hasonlóan terjed.