Bár múlt heti ígéretemnek nem tudtam eleget tenni, a hétvége viszonylagos nyugalmát kihasználva megpróbálom összefoglalni az elmúlt napok eseményet a sKyWIper/Flame/Flamer kártevővel kapcsolatban - bár új információk megjelenése most is órákon belül várható.
A Windows Update fiaskója után azt hiszem végleg eldőlt, hogy a kártevő egy minden valószínűség szerint egy vagy több nagy befolyással bíró szervezet, állam által fejlesztett fegyver. Ezt az álláspontot erősíti meg Marc Stevens, a 2007 év végi MD5 ütköztetés egyik koponyájának közleménye, mely szerint a manipulált tanúsítvány egy eddig ismeretlen kriptográfiai támadással készült, tehát az szoftver bevetését igen komoly, titokban folytatott kutatásnak kellett megelőznie. A befektetett munkának azonban impresszív eredménye lett: a Microsoft hétfői rendkívüli javítását lényegében csak úgy lehet telepíteni, hogy ezzel az ember éppen a Flamer benyalását kockáztatja (még ha a támadás célzottsága miatt ennek az esélye minimális is). Az új támadás részleteiről egyébként Alex Sotirov holnap előadást tart a Summerc0n konferencián. A régebbi támadás gyakorlati alkalmazásáról itt olvasható egy jó összefoglaló.
Ennek fényében a sKyWIper működésének feltérképezésére irányuló kísérletek eredményei is más színezetet kapnak: A Kaspersky szakértői a GoDaddy-vel és az OpenDNS-sel együttműködve eltérítettek egyes vezérlő számítógépekre vonatkozó DNS kéréseket a saját hálózatukba, hogy jobban megvizsgálhassák azokat. Már maguknak a céldomaineknek a felderítése a 80 feltárt domainnel és a regisztrációkhoz használt hamis identitások garmadájával is mutatja az akció volumenét. Mint a beérkező adatokból kiderült, a Flamer HTTP csomagokon keresztül kommunikál, üzeneteit egyszerű XOR eljárással obfuszkálja - ez már elég a legtöbb hálózatból történő kitöréshez. Az adatok megfejtése után kiderült, hogy a kártevő számos verzióban működik, a legfrissebb megfigyelt a 2.243-as azonosítót kapta - az értékből és a felbontás pontosságából tippelhetünk akár a szoftver korára is.
Az irányítás részleges elvesztésére természetesen a támadók is hamar reagáltak egy speciális önmegsemmisítő modul telepítésével. Bár a Flamernek eleve elküldhető egy SUICIDE parancs, a Symantec honeypotjaiba a lépés nyomán egy teljesen új modul esett be, ami egy hosszú beégetett lista alapján írja felül és törli a kártevő fájljait, önmagát is beleértve. A lista remélhetőleg új nyomokhoz is elvezeti majd a szakértőket. A Symantec munkatársai ezen kívül összeállítottak egy listát a sKyWIper "appjairól", demonstrálandó a kártevő adatgyűjtő képességeit. A tekintélyes méretű lista legérdekesebb elemei a hagyományos hálózati felderítést, illetve elterjedt fájlformátumok feldolgozását végző elemek mellett megtalálható kevésbé gyakori szoftverek, pl. FTP kliensek, távoli elérést biztosítő szoftverek - a kíváncsiskodók minden bizonnyal jól informáltak voltak a célpontok szoftver preferenciáit illetően.
Miközben pedig a világ tekintete a Flameren csüng (de vicces szó ez :), a Gofas trójai a jól megszokott banki adatok helyett AutoCAD fájlokra vetett szemet áthelyezve a célcsoportot az egyszeri felhasználókról sokkal érdekesebb célpontok irányába. A szellem bizony kiszabadult a palackól.
