Odkryto hakerski wytrych
Fot. Fotolia
Eksperci pracujący dla kilku firm informatycznych odkryli zupełnie nowy rodzaj programu, określonego jako „wielofunkcyjny wytrych” służący do włamań hakerskich. Szkodliwy kod ułatwia dostęp do komputerów innym programom i sam wykonuje działania szpiegowskie. Jest kierowany tylko na wybrane komputery o szczególnie ważnych danych – poinformował Computerworld.
Program wcześniej nazwany SPE, obecnie określany jest jako miniFlame, ponieważ jego kod wskazuje na to, iż został wyprodukowany przez tą sama ekipę programistów, która stworzyła inne znane wirusy: Stuxnet, Flame i Gauss. MiniFlame, mimo iż jego kod jest podobny do kodu Flame jest od tych wszystkich trojanów odmienny. Jest mniejszy, ale równie wyrafinowany i trudny do likwidacji. Jak twierdzą analitycy, miniFlame jest obecnie „najbardziej zaawansowanym narzędziem do włamań, jakie kiedykolwiek stworzono”.
Jak powiedział Computerworld Roel Schouwenberg, główny badacz w firmie Kaspersky, program ten odkrywa luki w systemach operacyjnych i aplikacjach, służąc jako rodzaj wytrycha, który umożliwia wejście do systemu operacyjnego czy aplikacji innych szkodliwych programów, np. właściwemu Flame czy Gauss.
Nowe malware działa też inaczej niż Gauss czy Flame. Programy tego typu działają trójetapowo. Etap pierwszy to zainfekowanie jak największej liczby interesujących komputerów i serwerów. Drugi etap to pozyskanie jak największej ilości danych z zaatakowanych komputerów i przesłanie ich na serwer zarządzania i kontroli (serwer C&C). Trzeci etap, to wybór maszyn zawierających najciekawsze dane. Analitycy sądzili, że kierowane są na nie malware destrukcyjno-szpiegowskie jak Stuxnet czy Gauss, ale obecnie uważają, że na te wybrane komputery trafia właśnie miniFlame, co pozwala ukryć fakt włamania, jednocześnie dając możliwość stałego dostępu do interesującej hackerów jednostki.
Obecnie eksperci jeszcze nie określili w jaki sposób miniFlame dostaje się na zaatakowane komputery, ale analiza jego kodu wskazuje iż ściąga i instaluje je Gauss lub Flame. Dodatkowo, przypuszczenia te może potwierdzić iż analitycy wykryli iż na wszystkich komputerach zainfekowanych przez miniFlame znaleziono ślady tych programów. Według Schouwenberga plik instalacyjny miniFlame może nawet znajdować się w partii nie odszyfrowanego jeszcze kodu Gaussa.
Co ciekawe, eksperci wykryli, że mechanizm samozniszczenia, który posiada Flame i Gauss nie narusza plików miniFlame. Muszą być one usuwane osobno, co oznacza iż ich instalacja i działanie są osobne od Flame i Gaussa. Analitycy uważają, że twórca miniFlame/SPE miał nadzieję iż program ten po autodestrukcji właściwego Flame lub Gaussa ujdzie uwagi specjalistów bezpieczeństwa w zaatakowanej firmie.
Niewielkie malware, poza otwarciem dostępu do systemu dla większych odmian złośliwego kodu, posiada także i inne możliwości – może kopiować i przesyłać wybrany typ plików (np. pliki Office) na serwer zarządzania i kontroli oraz wykonywać zrzuty ekranu w czasie działania takich aplikacji jak przeglądarki, komunikatory internetowe, edytory dokumentów czy narzędzia programistyczne.
Niektóre wersje miniFlame/SPE mogą samodzielnie instalować się na pendrive USB. Jest to miniFlame „mobilne” bowiem taka pamięć USB po włożeniu w złącze w niezainfekowanym komputerze, przeszukuje jego dysk twardy, kopiuje i ściąga na pendrive interesujące pliki np. dokumenty Office.
Pierwsze ślady miniFlame odkryto w lipcu br., ale warianty jego kodu są datowane przez analityków Kaspersky i Symantec na okres od II połowy 2010 roku. Protokół komunikacji z serwerem zarządzania i kontroli, jeden czterech, którego miniFlame używa, jest jeszcze starszy – pochodzi zapewne z 2007 roku.
Analitycy z Symantec uważają, ze kwestią czasu jest odkrycie nowych wariantów tego malware. Według ekspertów z Kaspersky Lab najpowszechniejsza zapewne jest wersja miniFlame 4.50, głównie działająca w Libanie i Palestynie. Inne warianty spotykane są w Arabii Saudyjskiej, Iranie i Katarze, choć pojedyncze ślady miniFlame znaleziono w komputerach różnych firm – także europejskich.
Liczba infekcji tym programem jest niewielka – najpowszechniejszy wariant 4.50 zakaził prawdopodobnie około 50-60 komputerów, ale zdaniem analityków kod jest wprowadzany tylko na wybrane komputery, posiadające dane o szczególnym znaczeniu i dlatego infekcji miniFlame nigdy nie będzie dużo.
Serwery C&C powiązane z miniFlame, działające między majem a wrześniem br. posiadają adresy IP wskazujące na ich lokalizacje w USA, Francji i na Litwie. Analitycy nie mogą obecnie określić dokładnie, jakie instytucje i firmy są celem nowoodkrytego malware.
Nad rozpracowaniem nowego zagrożenia pracowali analitycy firm: Kaspersky Lab, Symantec oraz ITU-IMPACT i CERT-Bund/BSI. (PAP)
mmej/ ula/
Przed dodaniem komentarza prosimy o zapoznanie z Regulaminem forum serwisu Nauka w Polsce.
