Flame stokrat kompleksnejši od Stuxneta
Matej Huš
29. maj 2012 ob 10:49:38
Računalniški napadi postajajo vedno pogostejši in zdi se, da zamenjujejo klasično vojskovanje in vohunjenje. Najbolj razvpit primer zlonamerne kode v zadnjih letih je Stuxnet, ki je sabotiral iranske centrifuge za bogatenje urana, leto dni pozneje pa mu je sledil Duqu, ki je kradel občutljive podatke. Naslednjo fazo v tej tekmi predstavlja Flame, ki je po besedah strokovnjakov najobsežnejši in najkompleksnejši zlonamerni program za prisluškovanje in krajo informacij.
Flame je razširjen že od leta 2010, a je javnosti postal znan šele sedaj, ko so ga analizirali v Kaspersky Labu. Gre za obsežen in dovršen kos kode, ki tehta 20 MB ali 40-krat več od Stuxneta. Vsebuje vrsto knjižic in celo virtualni stroj LUA, kar je v klasičnih malwarih velika redkost. Vektor napada je za zdaj neznan, a ko se program enkrat ugnezdi na omrežju, se lahko razširi po računalnikih v omrežju in začne prisluškovati. To počne zelo temeljito, saj ne le spremlja datoteke na disku, ampak zajema zaslonsko sliko, beleži pritiske tipk in celo snema pogovore po mikrofonu in s spletno kamero. Tako nastale večpredstavnostne datoteke stiska in skupaj z ostalimi podatki posreduje svojim avtorjem, in sicer prek SSL-kanala.
Manj gotove so informacije o avtorjih, njihovih motivih in času nastanka. Datoteke, ki tvorijo Flame, imajo datume nastanka v letih 1992-1995, a gre za lažne datume. Bržkone je bil Flame napisan najkasneje leta 2010 (krožiti je začel marca tedaj ali prej), obsežno predelavo pa je doživel lani. Zanimivo je, da je okužil predvsem bližnjevzhodne države. Čeprav so ga zaznali tudi v ZDA in Evropi, je ogromna večina okuženih računalnikov v Iranu, Izraelu, Sudanu, Siriji, Libanonu in Saudski Arabiji - skupno okoli 5000. Natančnih ciljev nima, ampak napada podjetja, univerze in vse ostale ustanov, kamor zaide. To daje slutiti, da je avtor neznana država. Strokovnjaki pojasnjujejo, da tako obsežne projekte običajno pišejo haktivisti, internetni kriminalci in države. Ker ne krade bančnih informacij, ga očitno ni napisala klasična hudodelska družba, poleg tega pa se precej razlikuje od tipičnih izdelkov haktivistov. Razlikuje se tudi od Stuxneta in Duquja in je v bistvu precejšen unikat.
Flame je precej prebrisan, saj se zelo trudi, da nase ne pritegne preveč pozornosti. Ker je velik 20 MB, se na računalnike naloži kosoma, najprej 6 MB-paket. Po namestitvi se poveže na 80 strežnikov, od koder dobi nadaljnja navodila. Pri tem se ne širi po omrežju brez potrebe, ampak postane aktiven šele, ko dobi ukaz za to. Širi se tudi prek USB-ključev, a spet ne avtomatično. Predvideva se, da je to z namen pritegniti čim manj pozornosti in se izogniti odkritju. Flame je izšel še pred odkritjem Stuxneta, a so ga v vmesnem času gotovo dodelali. Nima avtomatičnega datuma uničenja, vsebuje pa stikalo, ki ga lahko operaterji sprožijo na daljavo in pobrišejo vse dokaze o obstoju virusa. Kdo ti operaterji in avtorji so, še ni znano.