Firmowe komputery a najnowsze zagrożenia

W kwietniu br. pojawiła się seria doniesień na temat destrukcyjnego szkodliwego programu o nazwie kodowej Wiper, który atakował systemy komputerowe związane z wieloma instalacjami wydobycia ropy w Azji Zachodniej. Jednak szczyty popularności w ostatnich 12 miesiącach biły gł.: Flame, StuxNet i Duqu. Niedawno dołączył do nich Gauss.

Co potrafią

Duqu specjalizował się w wykradaniu tajemnic technologicznych firm, m.in. wykonując zrzuty ekranu z komputerów przemysłowych. StuxNet stworzono po to, aby sabotować nuklearne plany Iranu. Robak w 2009 r. zaatakował w elektrowniach komputery sterujące wirówkami wykorzystywanymi w irańskim programie służącym do tworzenia broni jądrowej.

Flame z kolei został przeznaczony do wykradania cennych danych – zarówno od firm, instytucji czy osób prywatnych – na wiele różnych sposobów. Specjaliści z branży odkryli go w maju br. i szybko okrzyknęli najbardziej zaawansowanym robakiem wszechczasów, zmieniającym definicję cyberwojny i cyberszpiegostwa (wg opinii Alexandra Gosteva z Kaspersky Lab).

Co siedzi w „płomyku”

Charakterystyczną cechą Flame’a – poza poziomem złożoności – jest m.in. ogromny (jak na tego typu aplikacje) rozmiar – niemal 20 MB. Co potrafi? Na przykład wykonywać skomplikowane operacje na bazach danych, kompresować informacje, zbierać wiadomości dotyczące znajdujących się w pobliżu urządzeń Bluetooth, rozsyłać zakodowane dane o sobie, regularnie wykonywać zrzuty ekranu komputerów – gdy są uruchomione interesujące go aplikacje, zbierać bez wiedzy użytkownika dźwięk z otoczenia poprzez wbudowany mikrofon itd. To wszystko może się dziać w każdym domu i w każdej firmie!

Kogo atakuje Flame

Eksperci z Kaspersky Lab ustalili, że Flame zbiera dokumenty, korespondencję czy rozmowy z różnych miejsc, jednak bez specjalnych preferencji (choć zaatakował np. irańskie Ministerstwo ds. Ropy Naftowej). Dotąd jego ofiarami padły tysiące maszyn na całym świecie, przy czym głównym celem ataków były obiekty znajdujące się na Bliskim Wschodzie (gł. w Iranie właśnie, Izraelu i Sudanie).

Jak go złapać

Flame’a jest niezmiernie trudno wykryć, ponieważ jego twórcy postarali się, by wyglądał jak zwykły system do zarządzania zawartością (CMS). Szkodnik wszystkie zgromadzone przez siebie informacje systematycznie przesyłał szyfrowanym połączeniem (SSL) do centrum kontroli.

Analitycy Kaspersky Lab ustalili, że na jeden serwer trafiało ponad 5 gigabajtów danych tygodniowo, z ponad 5 tys. zainfekowanych komputerów i innych maszyn. Rozprzestrzeniał się głównie przy pomocy plików typu PDF, dokumentów pakietu Office – tak często stosowanych w firmach – oraz AutoCad – przez lokalną sieć, elektroniczną pocztę, strony WWW, zewnętrzne nośniki danych etc. Według najnowszych informacji prace nad stworzeniem Flame’a trwały od grudnia 2006 roku. Obecnie na wolności pozostaje minimum jedna wersja tego szkodnika. Jest tym samym zagrożeniem, które pod nazwą SkyWiper analizują eksperci laboratorium CrySyS Lab oraz pod nazwą Flamer bada grupa Iran Maher CERT.