Flame „spáchal“ sebevraždu. Jak vypadal nejsložitější virus historie?

5. 7. 2012

Sdílet

 Autor: Redakce

Symantec nedávno na svém blogu oznámil, že zaznamenal rozesílání „sebedestrukčních“ instrukcí v síti počítačů nakažených červem Flame. Tedy pokynů ke kompletnímu odstranění červa z infikovaných počítačů (nikoli k odstranění samotných počítačů, aby nedošlo k nedorozumění).

Je tedy načase podívat se na kloub patrně nejkomplexnějšímu malwaru současnosti a zároveň si tipnout, kam by mohly vést jeho stopy.Byť k dispozici zatím nemáme mnoho informací a část řídící struktury červa je stále aktivní, pokusíme se pospojovat již známé střípky.

Nejprve si zrekapitulujme, co už víme. Antivirové společnosti označují červa W32/Flame-A (říkejme mu i nadále familiárně Flame) za nejkomplexnější bezpečnostní hrozbu od doby Stuxnetu, který mlčky likvidoval iránské odstředivky na obohacování uranu. Právě o něm se spekulovalo, že byl dílem izraelských a amerických tajných služeb, což posléze potvrdil deník The New York Times.

Výzkum společnosti Kaspersky (právě ona červa objevila) poukazuje na možné propojení autorů Stuxnetu a Flamu, takže stopa možná zase míří do zpravodajských agentur. Bezpečnostní odborníci jsou výjimečně zajedno a souhlasně tvrdí, že za vývojem červa Flame musela stát dobře organizovaná, technicky zdatná a finančně zajištěná skupina. Na rozdíl od Stuxnetu, který „bořil a ničil“, má ale Flame čistě špionážní charakter.

Mapa červa Flame

Červ Flame cílil na počítače na Blízkém východě a především v Íránu, foto: Wired.com

Odvážnou tezi smrdící konspirací, tedy že za červem stojí některá z vlád, nicméně podporuje jím zasažená oblast: jde o Blízký východ a hlavně pak jaderný Írán, který se mermomocí nechce vzdát svého programu, ačkoli za něj čelí nemilosrdným sankcím ze strany Západu. Přesné číslo červem nakažených počítačů nám není známé, všechny zdroje mají ale zajedno v tom, že jde o jednotky tisíců. Napadá pouze počítače s operačním systémem Windows.

Žádný drobeček

Flame není žádný drobek, jeho celková velikost dosahuje dvaceti megabajtů. Odhalení antivirem se brání tím, že jej nejprve detekuje a poté mu přizpůsobí své chování, aby byl v systému co nejméně nápadný. Počítače nenapadá samovolně, útoky jsou zpravidla cílené. V infikovaných počítačích odchytává komunikaci, vytváří snímky obrazovky a šmejdí v souborech. Z dalších zařízení pak získává informace prostřednictvím rozhraní Bluetooth.

Ukořistěná data odesílá na řídící servery rozmístěné různě po světě. Většinu ukradených dat představují technické výkresy nebo různé dokumenty, což je příznačné pro průmyslovou špionáž. Uveřejněné analýzy činnosti červa zatím jsou a dlouho budou jen zevrubné; společnost Kaspersky varuje, že vzhledem ke komplexnosti může trvat jeho podrobný rozbor i několik let.

„Anatomie“ Stuxnetu na videu. Červ Flame je údajně několikanásobně propracovanější

Možná ještě zajímavější než samotný červ je síť, v rámci které fungoval. Podle informací, které médiím poskytla antivirová společnost Kaspersky, ji tvořila zhruba stovka serverů umístěných v různých zemích. Tato řídící struktura údajně fungovala několik let, což tedy vyvrací informace o tom, že by byl Flame hrozbou jen několika týdnů před jeho odhalením v květnu. Agentura Reuters konkrétně mluví o pěti letech, BBC pak o tom, že Flame vznikl v až roce 2010. Ať už je pravdivé kterékoli z těchto dvou čísel, je obdivuhodné, jak dlouho se Flame dokázal skrývat před zraky antivirového softwaru. Tahle úvaha jen přidává na jeho důmyslnosti.

Je zcela evidentní, že červ není dílem kdejakého garážníka prahnoucího po číslech kreditek. Komplexnost červa (dovolím si podotknout, že v tuto chvíli známe jen velmi málo z toho, co skutečně dokáže), jeho zacílení a propracovaná řídící struktura jasně vypovídá o tom, že za ním musela stát mocná zájmová skupina, a to buď v podobě některé vlády, nebo méně pravděpodobněji určité korporace.

bitcoin školení listopad 24

 

Zevrubný výzkum společnosti Kasperky „… ale nyní jasně ukázal, že tyto dva týmy (autoři Stuxnetu a Flamu, pozn. D. D.) spolu v počáteční fázi vývoje minimálně jednou spolupracovaly.” Pokud se tedy prokázalo, že Stuxnet byl dílem americké a izraelské vlády, logicky to vede k závěru, že jím je i Flame. Než ale začneme ukazovat prstem, raději počkejme na to, až budeme mít trochu více jasných informací.