» »

Po Flamu miniFlame

Po Flamu miniFlame

threatpost - Doslej najobsežnejši znani vladni trojanec Flame, ki so ga pripravili posebej za vohunjenje v strateško pomembnih ustanovah in obratih, je zgrajen izrazito modularno. S tem se njegova velikost nekoliko prikrije, saj se prenaša po delih, hkrati pa ga je enostavneje mogoče prilagoditi napadom na posamezne tarče. Malce po odkritju Flama so raziskovalci našli kos zlobne programske opreme, ki se ga je prijelo ime miniFlame in za katerega je sprva kazalo, da je en njegov modul. Izkazalo se je, da to ne drži.

MiniFlame (znan tudi kot SPE) je zelo premeten kos programske opreme. Deluje lahko kot vključek (modul) v Flamu ali njegovem bratrancu Gaussu, sposoben pa je tudi povsem samostojnih operacij. Kot so ugotovili pri Kaspersky Labu, je njegov namen podrobnejša analiza in zbiranje podatkov o tarčah, ki jih je preliminarno že ocenil Flame. Medtem ko Flame napada cilje Iranu, Izraelu, Siriji in presenetljivo Sudanu, kjer je povzročil okoli 700 znanih okužb, je miniFlame dosti bolj izbirčen. Doslej so ga našli na dobrem ducatu sistemov, ki so bili večidel v Libanonu.

Hkrati analiza kaže, da je miniFlame precej bolj specializiran kakor Flame ali Gauss. Gre za stranska vrata (backdoor), ki omogočajo popoln dostop do kompromitiranega sistema. Program zbira vse mogoče informacije o sistemu, ki jih nato prek interneta odlaga na Flamove ali lastne kontrolno-nadzorne (C&C) strežnike, hkrati pa podobno kakor Flame omogoča tudi aktivni nadzor na kompromitiranimi sistemi. Uporablja tudi staro taktiko širjenja prek okuženih USB-ključev, kar sta počela tako Flame kakor Gauss.

MiniFlame so odkrili septembra, potem ko se je prvikrat pojavil julija. Analiza je pokazala, da je zelo podoben Flamu tudi po sami funkcionalnosti. Razlike, ki se vendarle pojavljajo, potrjujejo, da gre za delo istih ljudi, a da je namenjen natančno ciljanim napadom. Do danes so odkrili šest variant miniFlama, ki so namenjena vsaka svojemu cilju. Do njega so se dokopali z analiziranjem Flamovih C&C-strežnikov, ki poslušajo informacije in dajejo ukaze prek štirih protokolov in upravljajo štiri razrede malwara. FL (Flame) in SPE (miniFlame) sta vsaj odkrita in do neke mere razvozlana, medtem ko še ni jasno, kaj stoji za kraticami IP in SP.

Je pa nadvse zanimivo, da miniFlame predstavlja prvi odkriti vezni člen med Flamom in Gaussom, saj lahko deluje kot modul v obeh. S tem je celotna veriga od Stuxneta, prek Duquja, Flama in Gaussa sklenjena z miniFlamom. Na Bližnjem vzhodu očitno poteka ogromna vohunska operacija, v kateri aktivno sodelujejo tako ZDA in Izrael (zagotovo v Stuxnetu, bržčas pa tudi v naslednikih) kakor arabske države.

2 komentarja

Rias Gremory ::

V katerem programskem jeziku je pa napisan miniFlame?
Geton trading je nateg.
Divide et impera.

Rias Gremory ::

Geton trading je nateg.
Divide et impera.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Po Stuxnetu in Flamu še MiniDuke, ki je napadal tudi v Sloveniji

Oddelek: Novice / Varnost
124707 (2962) GBX
»

Stuxnet, DuQu, Flame, Madi, Gauss ... Rdeči oktober! (strani: 1 2 )

Oddelek: Novice / Varnost
7416988 (14374) OmegaBlue
»

Kaspersky išče pomoč pri dešifriranju trojanca Gauss

Oddelek: Novice / Varnost
83440 (1650) Fave
»

Računalniški napadi na iranski jedrski program se nadaljujejo (strani: 1 2 )

Oddelek: Novice / Varnost
5812596 (10695) enadvatri
»

Flame izkoriščal Microsoftove certifikate

Oddelek: Novice / Varnost
176079 (3984) MrStein

Več podobnih tem