Najbardziej złożony komputerowy szkodnik nie został wykryty za pomocą automatycznych metod detekcji. Jego odkrycie to wynik śledztwa prowadzonego przez firmę Kaspersky Lab na wniosek Międzynarodowego Związku Telekomunikacyjnego (ITU). Przedstawiciele ITU poprosili o pomoc w namierzeniu podejrzanego kodu, który najprawdopodobniej wykradał i niszczył poufne informacje przetwarzane na Bliskim Wschodzie.
Specjaliści z rosyjskiego laboratorium antywirusowego wykryli zupełnie nowy, nieznany wcześniej rodzaj zagrożenia. Geografia ataków oraz cele (tylko wybrane komputery) to cechy, które ustawiają nowego szkodnika w jednym szeregu z wykrytymi wcześniej zagrożeniami: Stuxnetem (złośliwym kodem sabotującym pracę wielu urządzeń przemysłowych, m.in. irańskich reaktorów nuklearnych) oraz Duqu (wyspecjalizowanym trojanem infekującym bardzo niewiele ściśle określonych komputerów). Jednak pod względem wyrafinowania i złożoności wykryty kod jest znacznie bardziej zaawansowany. To prawdziwa cybernetyczna szpiegowska ciężka artyleria, a naukowcy z Kaspersky Lab uznali Flame wręcz za synonim cyberszpiegostwa.
Robak gigant
Przez lata przyzwyczailiśmy się, że złośliwe oprogramowanie to niewielkie, ważące kilkanaście kilobajtów programy. Flame całkowicie burzy te przekonania. Kod tego robaka wraz z pełnym pakietem modułów zajmuje po instalacji w docelowym zaatakowanym systemie niemal 20 MB. Już sama analiza tak dużej ilości danych nastręcza wiele problemów. Jednak sprawę dodatkowo komplikuje bardzo zawiła konstrukcja szkodnika, który zawiera wiele różnych bibliotek (np. do kompresji, szyfrowania, manipulacji bazą danych) i całą maszynę wirtualną dla skryptowego języka LUA.
Flame jest już dość długo analizowany przez specjalistów zajmujących się wykrywaniem i neutralizacją złośliwego kodu. Mimo to nie poznano jeszcze całkowicie wszystkich metod, za których pomocą wykryte zagrożenie rozprzestrzenia się między kolejnymi komputerami. Wiadomo, że Flame potrafi się rozsyłać przez sieć lokalną, i to na różne sposoby, niejednokrotnie bardzo wyrafinowane (np. przez luki w zabezpieczeniach sterowników drukarek sieciowych). Oprócz tego Flame, podobnie jak wykryty wcześniej Stuxnet, potrafi infekować urządzenia podłączane do gniazd USB. Patrz ilustracja „Drogi infekcji robakiem Flame”.
Co potrafi Flame?
Zestaw potencjalnych, już wykrytych, funkcji Flame’a jest ogromny, ale uczciwą odpowiedzią na pytanie o jego możliwości, musi być stwierdzenie, że cały potencjał tego wirusa szpiega nie został jeszcze do końca poznany.
Wiadomo, że Flame po zainfekowaniu komputera uruchamia (w zależności od woli operatora) cały arsenał zadań szpiegowskich. Jest zdolny do podsłuchiwania ruchu sieciowego na wszystkich interfejsach zainfekowanego komputera, włączając w to również interfejs bluetooth, jeżeli taki zostanie wykryty. Oprócz tego złośliwe oprogramowanie
Flame kradnie pliki (ale tylko interesujące agresora), przeszukuje bazy kontaktów zapisane w komputerze, wykonuje zrzuty ekranu, i to w określonych sytuacjach (np. gdy działają konkretne aplikacje, takie jak komunikatory internetowe), przechwytuje znaki wprowadzane z klawiatury, a nawet nagrywa rozmowy audio, włączając automatycznie mikrofon w zainfekowanej maszynie! Oczywiście wszystkie zebrane informacje są wysyłane na serwer operatora szkodnika przez utajniony kanał SSL. Flame potrafi również „otworzyć” zainfekowany komputer na świat, dzięki czemu łatwiejsza jest infiltracja danej maszyny za pomocą dodatkowych programów.
Opisane zadania realizowane przez Flame to zaledwie część jego możliwości. Modułów Flame’a wywołujących kolejne funkcje jest ponad 20 i przeznaczenie większości z nich wciąż jest badane.
Najbardziej złożony komputerowy szkodnik nie został wykryty za pomocą automatycznych metod detekcji. Jego odkrycie to wynik śledztwa prowadzonego przez firmę Kaspersky Lab na wniosek Międzynarodowego Związku Telekomunikacyjnego (ITU). Przedstawiciele ITU poprosili o pomoc w namierzeniu podejrzanego kodu, który najprawdopodobniej wykradał i niszczył poufne informacje przetwarzane na Bliskim Wschodzie.
