Flame: Za špijunažu računala koji nisu povezani s internetom, malver koristi korisnika zaraženog računala

Nedavno otkriveni zlonamjerni program Flame, čija je sofisticiranost impresionirala stručnjake koji se bave kompjuterskom sigurnošću, pokazao je još jedno svoje lice. Naime, kako piše američki magazin Forbes, stručnjaci Bitdefender-a otkrili su da malver koji je razvijen za potrebe cyber špijunaže posjeduje još jedan alat u svom arsenalu za krađu podataka - korisnika zaraženog računala.

Stručnjaci Bitdefender-a tvrde da je Flame osposobljen da krade podatke s računala koji nisu povezani s internetom ili s drugim umreženim računalima. Umjesto da šalje ukradene podatke udaljenom serveru na način na koji to čine drugi špijunski programi, Flame može premjestiti ukradene podatke zajedno s kopijom svog KOD-a na USB memorijski stik koji je priključen na zaraženo računalo i potom sačeka da korisnik priključi USB stik na računalo koje je povezano s internetom, zarazi ga, kopira ukradene podatke s USB stika na novozaraženo računalo i nakraju pošalje podatke udaljenom serveru na način na koji to čine i drugi slični programi.

Širenje malvera preko USB uređaja nije novi trik za malvere, ali istraživači BitDefender-a kažu da nikada ranije nisu vidjeli da neki program ovog tipa premješta svoj digitalni plijen sa zaraženog računala na USB stik i da tako strpljivo čeka priliku da pošalje ukradene podatke onima koji ga kontroliraju.

Ovakva taktika malvera pretvara korisnika, kako kažu u BitDefender-u, u “data mule” (doslovce bi se prevelo kao “mazga za prijenos podataka”, slično kao “money mule”). Dakle, autori malvera računaju s tim da bi u nekom trenutku neoprezni korisnik mogao uključiti zaraženi USB stik u zaštićeno računalo i na taj način iznijeti podatke koji se nalaze u sigurnom okruženju u vanjski svijet.

Flame koristi istu .lnk AutoRun ranjivost koju je koristio i Stuxnet. Da bi sakrio ukradene podatke Flame kopira i svoj KOD i svoj plijen u folder nazvan jednim simbolom - “.”, koji Windows ne vidi kao naziv foldera i na taj način i malver i ukradeni podaci ostaju sakriveni od korisnika.

Kada se zaraženi USB stik uključi u računalo povezano s internetom, Flame najprije provjerava vezu sa C&C serverom za komandu i kontrolu pa tek onda premješta podatke s USB stika na računalo, kompresira ih i šalje ka udaljenom serveru preko HTTPS.

S obzirom da je razvijen s idejom da posluži kao alat cyber špijunaže, nije neobično što Flame ima mehanizam za premještanje podataka iz jednog okruženja u drugo tako da ne zavisi od toga da li je računalo umreženo ili povezano s internetom, kažu u BitDefender-u.

IZVOR