Najveći broj infekcija računala malverom Flame je zabilježen u Iranu (198), zatim u Izraelu i Palestini (98), Sudanu (32), Libanonu (18), Saudijskoj Arabiji (10) i Egiptu (5). Iako Kaspersky nije identificirao organizacije koje su meta malvera, jasno je da se on širi za sada isključivo u zemljama Bliskog istoka. U kompaniji vjeruju da napade financira neka država, ali za sada nisu sigurni odakle je došao malver.
Prve analize Kaspersky Laboratorije ukazuju da kreatori malvera Flame tragaju za bilo kojom vrstom obavještajnih podataka kao što su emailovi, dokumenti i poruke. Kada zarazi računalo, Flame snima audio razgovore, snimke ekrana, bilježi aktivnosti na tastaturi itd. Svi prikupljeni podaci se šalju serverima za komandu i kontrolu malvera. “Nismo vidjeli bilo kakve specifične znake koji bi upućivali na određenu metu kao što je energetska industrija, što je razlog da vjerujemo da je malver alat za napade dizajniran za potrebe cyber špijunaže,” kaže Aleksandar Gostov iz Kaspersky Laba.
To ne znači da ovaj malver ne bi mogao biti iskorišten u napadima na SCADA uređaje, ISC, infrastrukturu itd. Sistemi koje je zarazio Flame pripadaju kompanijama, akademskim i vladinim institucijama, ali i pojedincima. Kaspersky Lab je slučaj malvera Flame preuzeo kada je Međunarodna unija za telekomunikacije zatražila pomoć proizvođača antivirusa u identificiranju malvera koji briše podatke širom Bliskog istoka. Dok su stručnjaci Kaspersky Laba tragali za kodom nazvanim Wiper otkrili su novi malver Worm.Win32.Flame.
U Kaspersky Labu kažu da je prvi slučaj infekcije ovim malverom zabilježen u Kolovozu 2010. godine, ali stručnjaci kompanije smatraju da je virus bio aktivan i prije toga. Za razliku od drugih malvera, koji su najčešće mali i pisani tako da se lako sakriju na zaraženom računalu, Flame ima skoro 20MB što analizu malvera dodatno otežava. Razlog zašto je Flame tako veliki je taj što uključuje mnogo različitih biblioteka i Lua virtualnu mašinu.
Flame ima nešto zajedničko s malverima Stuxnet i Duqu, ali u Kaspersky Labu kažu da ovaj malver nije razvila ista grupa autora koja je odgovorna za razvoj Stuxneta odnosno Duqu malvera. Ima naznaka da su autori malvera Flame imali pristup tehnologiji korištenoj u projektu Stuxnet. Ali oni su mogli koristiti i javno dostupne informacije o Stuxnetu koje su im mogle biti od pomoći prilikom razvoja Flame-a.
Podsjećanja radi, Stuxnet je kompjuterski crv razvijen za napad na Siemens-ove kontrolne SCADA sisteme kojim je izvršen napad na iransku nuklearnu infrastrukturu 2010. godine. Duqu, koji je otkriven u rujnu prošle godine i koga su stručnjaci često dovodili u vezu sa Stuxnetom, imao je drugačiju misiju od svog prethodnika - umjesto nanošenja štete industrijskim kontrolnim sistemima njegov zadatak je bio krađa podataka koji su u vezi tih sistema.
Više tehničkih detalja o malveru Flame možete pronaći na blogu Kaspersky Laba.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.