Újabb fejezethez érkezett a Stuxnettel fémjelzett kiberkém-történet. Az iráni CERTCC mai közleményében egy új, célzott támadások során használt adattolvaj szoftver felfedezéséről számolt be, melyet a gyanú szerint ismét államilag szponzorált csoportok készíthettek.
A Flamerként emlegetett szoftver a maga 20 MB-os méretével a Kaspersky sokat tapasztalt kutatói szerint minden bizonnyal valaha látott legkomplexebb károkozó. Funkcionalitását tekintve képes a hálózatokon exploitok illetve legitim Windows szolgáltatásokon terjedni és megfertőzni USB adathordozókat, frissítéset a tucatnyi C&C szerver valamelyikéről SSL-el védett csatornán tölti le. A fertőzött rendszereken folyamatosan monitorozza a hálózati forgalmat, képernyőképeket készít és továbbít, valamint képes a mikrofon és a billentyűzet lehallgatására is.
A minta a CrySys Laborhoz is eljutott, ahol gyors elemzést tettek közzé az általuk sKyWIpernek keresztelt szoftver főbb jellegzetességeiről. A dokumentumból kiderül, hogy bár a megvalósított funkcionalitás jól felkészült fejlesztőkre és nagy költségvetésre utal, szerkezetileg kevés a hasonlóság a Flamer és a DuQu illetve a Stuxnet között - a terjedéshez használt exploitok közül néhány azonban megegyezik. A különbségeket magyarázhatja, hogy az újonnan felfedezett trójait/férget akár 5-8 év óta fejleszthetik (az egyik komponenst már 2007-ben gyanúsnak találták), de természetesen nem zárható ki az sem, hogy a szoftvert a Stuxnettől független felek készítették.
A Flamer szokatlanul precíz rejtőzködési technikákat használ, LUA-ban írt moduljait a felinstallált biztonsági szoftverekhez igazodva tölti be több mint 300 minta alapján. Szintén érdekes, hagyományos kártevőktől szokatlan megoldás, hogy bizonyos futás során gyűjtött (meta)adatokat a trójai titkosított SQLite adatbázisban tárol. Gyanús, hogy a szoftvert nagy kiterjedésű hálózatokba szánták, ami valamelyest alátámaszthatja a komplex adatstrúktúrákra történő támaszkodást.
Az elemzés a fentieken túl öt különböző titkosítási/obfuszkációs eljárást és különböző saját fájlformátumok használatát is feltárta, de még rengeteg munkára van szükség ahhoz, hogy a kártevő céljáról és működéséről tiszább, koherensebb képünk legyen (a Stuxnet huszad ekkora volt, azt fél évig elemezték). Ha kikerül további információ, frissítem a posztot.
Friss: Kikerült a Symantec riportja is. Fő célterületek: Ciszjordánia, Magyarország, Irán, Libanon - ritkán kerülünk ilyen társaságba!
Friss2: Sophos blogposzt a témában, lényegében a CrySys és a Kaspersky jelentéseiből ollózva. A McAfee-tól Szőr Péter ragadott billentyűzetet, közzétével a cég által észlelt fertőzések helyszíneit.
Friss3: Friss agymenésem+napi összefoglaló a témában itt olvasható. A Kaspersy tovább elemezte a kódot, a friss eredmények itt ovlashatók. Számomra a legérdekesebb újdonság a Beetlejuice modul, ami Bluetooth-on néz körül a fertőzött gép környezetében, illetve hírdetheti is magát: elképzelem az ügynököt, ahogy csak végigsétál a géptermen, miközben a zsebében a telefonja felméri, hány gépet sikerült befertőzni eddig...
Friss4: Érdekes Jerusalem Post cikk, utalásokkal az izraeli háttérre. (Köszi _2501!)
domi007 2012.05.29. 13:24:05
buherator · http://buhera.blog.hu 2012.05.29. 13:26:06
domi007 2012.05.29. 13:27:05
w32-blaster 2012.05.29. 13:50:52
DeToXXX 2012.05.29. 15:20:02
synapse · http://www.synsecblog.com 2012.05.30. 14:24:03
buherator · http://buhera.blog.hu 2012.05.30. 16:44:59
ÁrPi 2012.05.31. 11:27:09
" Nicht kompót! Nicht kompót! " 8-)
Tyra3l 2012.06.02. 17:10:29
hehe, ebből nekem is először Izrael jutott valamiért eszembe.
úgy tűnik hogy van még azért valaki aki komolyan veszi a jobbikot. :)
Tyrael
_2501 2012.06.04. 10:10:50