[vc_row][vc_column width=”2/3″][vc_wp_text]

[xyz-ips snippet=”metadatatitle”]

 

[/vc_wp_text][/vc_column][vc_column width=”1/3″][/vc_column][/vc_row][vc_row][vc_column width=”2/3″][vc_column_text]

Az elmúlt napokban meglehetősen sokat lehetett hallani arról a Flame nevű kártékony programról, amely kifinomult módszerekkel képes veszélyeztetni a számítógépeket. Most megvizsgáljuk, hogy valójában mennyire kell tartani a károkozótól.

Az elmúlt évek egyik legveszélyesebb, legalattomosabb ártalmas programjainak a Stuxnet valamint a Duqu károkozók számítottak. Ezek bebizonyították, hogy olyan informatikai infrastruktúrákba is képesek behatolni, és ott meglehetősen huzamosabb ideig észrevétlenül tevékenykedni, amelyeket amúgy egész védelmi arzenálok vesznek körül. A 2010-ben felfedezett Stuxnet különösen az iráni nukleáris létesítmények elleni akcióiról híresült el, de időközben bebizonyosodott, hogy csendben több tízezer számítógépre került fel, és mutatott fokozott érdeklődést a Siemens SCADA (Supervisory Control and Data Acquisition) alapú rendszerek iránt.

Mivel a Stuxnet a meglehetősen kifinomult technikáiról vált ismertté, ezért a hasonlóan nagy körültekintéssel megírt, elmúlt napokban címlapokra került Flame (vagy Flamer) nevű malware-ről az a hír járta, hogy a Stuxnet leszármazottjának tekinthető. Az eddigi vizsgálatok azonban arra derítettek fényt, hogy a Stuxnet valamint a Flame nem áll közeli rokonságban. Ráadásul az újonnan felbukkant kártevő valójában nem is olyan fiatal. A Kaspersky Lab szerint ugyanis a Flame első kódjai valamikor 2010-ben készülhettek, tehát pont a Stuxnettel párhuzamosan. A Flame fejlesztése az elmúlt években, hónapokban folyamatosan zajlott, és egyre több funkcióval gyarapodott.

[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/flame_1.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/flame_1.jpg” align=”center” alt=”A Flame működési elve – Forrás: Kaspersky Lab”/]

Kártékony modulok

A Flame egy moduláris felépítésű kártékony program. Ennek megfelelően a készítői az éppen aktuális igényeiknek megfelelően tudják bővíteni, terjeszteni. A károkozó alapvető moduljai olyan funkciókat látnak el, mint például a beszélgetések rögzítése, a képernyőképek készítése, a billentyűleütések naplózása, a hálózati adatforgalom monitorozása valamint a fertőzött számítógéphez közeli, Bluetooth kompatibilis eszközökhöz való csatlakozás. A funkciók listájából látható, hogy a Flame is az adatszivárogtatásra, információlopásra specializálódott. Az eddigi vizsgálatok szerint vezérlőszerverekre tudja feltölteni az általa összegyűjtött adatokat, azonban arra eddig nem derült fény, hogy a kártevő pontosan milyen jellegű információkat igyekszik megszerezni. Az iráni MAHER (Iranian Computer Emergency Response Team) csapata annyit közölt, hogy észlelték a Flame jelenlétét, és annak szerepe lehet nemrégen bekövetkezett, jelentős – adatszivárgásokkal járó – incidensekben is.

A Flame további jellemzője, hogy jóval nagyobb méretű, mint a Stuxnet. Míg a korábbról jól ismert károkozó a pár száz kilóbájtos méretével is képes volt komoly fejtörést okozni, addig a Flame elérheti a 6-20 megabájtot, attól függően, hogy éppen hány modul, komponens tartozik hozzá. Vitaly Kamluk, a Kaspersky Lab víruskutatásokért felelős vezetője elmondta, hogy a Flame LUA nyelven íródott, ami több mint szokatlan. A szakember szerint ugyanis eddig még nem kellett olyan kártékony programot elemezniük, amely a játékprogramok fejlesztőinek körében is használt LUA-nyelv segítségével készült volna.
[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/flame_2.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/flame_2.jpg” align=”center” alt=”Részlet a Flame forráskódjából – Forrás: Kaspersky Lab”/]

Kamluk nyilatkozatából kiderült, hogy a Flame elsősorban USB-s meghajtókon keresztül tud terjedni, de képes kihasználni néhány sérülékenységet is. Így például a Windows egyik nyomtatókezeléssel összefüggő biztonsági rését is a saját javára tudja fordítani, legalábbis abban az esetben, ha az adott rendszert nem frissítették megfelelően. A vizsgálatok szerint a Flame jelenleg nem képes kihasználni nulladik napi sérülékenységeket, ugyanakkor már teljes körűen frissített, Windows 7 alapú rendszereken is felbukkant. A Kaspersky szakértője arra a kérdésre, hogy a Flame miként maradhatott eddig rejtve, úgy válaszolt, hogy a malware a fertőzött rendszereken felméri, hogy milyen védelmi szoftverek futnak, és ennek függvényében hajtja végre vagy éppen napolja el a különféle tevékenységeit. Ezzel pedig képes megkerülni proaktív védelmet biztosító technológiákat.

Magyar vonatkozások

A Flame létezéséről nemcsak a Kaspersky Lab számolt be, hanem többek között a Symantec és a Duqu elemzésében fontos szerepet betöltő, magyar CrySyS Lab (Laboratory of Cryptography and System Security) is. A biztonsági kutatóknak a Flame jelenlétét eddig többek között Iránban, Izraelben, Szudánban, Szíriában, Szaúd-Arábiában, Egyiptomban, Oroszországban és Hongkongban sikerült kimutatniuk. Ami viszont ennél fontosabb, hogy a károkozó már Magyarországon és Ausztriában is felbukkant. Egyelőre azonban semmiféle jel nem utal arra, hogy tömeges vírusterjedésről lenne szó. A Flame inkább célzott támadásokban vesz részt.

[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/flame_3.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/flame_3.jpg” align=”center” alt=”Forrás: Symantec”/]

Azt egyelőre nem lehet tudni, hogy a Flame honnan származik, de a Symantec szerint angol anyanyelvű személyek készíthették, és a kód összetettségét és annak elkészítésének idő- valamint költségigényét figyelembe véve nem elképzelhetetlen, hogy a károkozó valamely állam megrendelésére született.

„Laborunk, a CrySyS Adat- és Rendszerbiztonság Laboratórium (CrySyS Lab), egy nemzetközi együttműködés keretében részt vett egy eddig ismeretlen malware elemzésében. Csapatunk a malware-t sKyWIper-nek nevezte el az általa használt ideiglenes fájlok elnevezése (KWI) után. Információink szerint a malware egyes komponenseit már korábban feltöltötték malware analízissel foglalkozó weboldalakra európai IP-címekről. Részvételünket elsődlegesen az európai fenyegetettség lehetősége motiválta. Később bizonyítékok igazolták Európa, azon belül Magyarország fenyegetettségét. Az új információk világossá tették számunkra, hogy a sKyWIper elemzésünket tartalmazó riportot azonnal meg kell osztani a védekezésben illetékes szervekkel és cégekkel” – olvasható a CrySyS Lab weboldalán.

Forrás: biztonsagportal.hu

[/vc_column_text][/vc_column][vc_column width=”1/3″][vc_wp_text][xyz-ips snippet=”metadatatime”]

[/vc_wp_text][/vc_column][/vc_row]

Pin It on Pinterest