Flamer: η πιο σύνθετη απειλή malware από την εποχή των Stuxnet και Duqu

67

Παραλληλίζοντας την με τα Stuxnet και Duqu, η ομάδα Security Response της Symantec βρίσκεται σε διαδικασία ανάλυσης μίας νέας εξελιγμένης και αθόρυβης απειλής με την ονομασία: W32.Flamer. Η ανάλυση μέχρι στιγμής αποκαλύπτει ότι το malware δημιουργήθηκε με σκοπό να αποσπά πληροφορίες από μολυσμένα συστήματα που βρίσκονται κυρίως στη Μέση Ανατολή. Σε αντίθεση με τις προηγούμενες δύο απειλές, αυτός ο κώδικας δεν είναι δημιουργημένος από ένα άτομο, αλλά από μία οργανωμένη ομάδα ατόμων με συγκεκριμένα  directives. Ο κώδικας περιλαμβάνει πολλαπλές αναφορές στην ακολουθία με την ονομασία ‘FLAME, οι οποίες είναι ενδεικτικές είτε των περιόδων των επιθέσεων σε διάφορα τμήματα του κώδικα, είτε αναφέρεται στην ονομασία ανάπτυξης του malware.

Η απειλή λειτουργούσε αθόρυβα για τουλάχιστον δύο χρόνια, έχοντας τη δυνατότητα να υποκλέπτει αρχεία, να λαμβάνει screenshots από τα desktop των χρηστών, να εξαπλώνεται μέσω USB drive, να απενεργοποιεί προϊόντα ασφαλείας και κάτω από ορισμένες συνθήκες να εξαπλώνεται σε άλλα συστήματα. Η απειλή μπορεί να είχε επίσης την δυνατότητα να αξιοποιεί πολλές γνωστές και επιδιορθωμένες ευπάθειες (vulnerabilities) στο λειτουργικό σύστημα Microsoft Windows, με στόχο την εξάπλωσή του στο υπάρχον δίκτυο. 

Οι αρχικές μετρήσεις υποδηλώνουν ότι οι στόχοι εστίασης αυτής της απειλής εντοπίζονται κατά κύριο λόγο στη Δυτική Όχθη της Παλαιστίνης, στην Ουγγαρία, το Ιράν και τον Λίβανο. Άλλοι στόχοι είναι οι:  Ρωσία, Αυστρία, Χονγκ Κονγκ και Ενωμένα Αραβικά Εμιράτα. Οι τομείς της βιομηχανίας που έχουν πέσει θύματα επιθέσεων αυτή τη στιγμή δεν είναι ξεκάθαροι. Παρόλα αυτά, οι αρχικές ενδείξεις δείχνουν ότι η στόχευση των θυμάτων μπορεί να μην έγινε για τον ίδιο σκοπό.  Πολλοί από τους στοχευόμενους φαίνεται να βρέθηκαν σε αυτή τη θέση λόγω ατομικών, προσωπικών δραστηριοτήτων, παρά λόγω της εταιρείας στην οποία εργάζονται. Παρουσιάζει ενδιαφέρον, ότι εκτός συγκεκριμένων οργανισμών που έπεσαν θύματα επίθεσης, αρκετά από τα συστήματα που δέχθηκαν επίθεση φαίνεται ότι είναι προσωπικοί υπολογιστές που χρησιμοποιούνται για σύνδεση στο διαδίκτυο από το σπίτι. 

Η πρόσφατη έκθεση της Symantec Internet Security Threat Report 17 εντόπισε δραματική αύξηση στον αριθμό των στοχευμένων επιθέσεων κατά τη διάρκεια του 2011, από 77κατά μέσο όρο την ημέρα το 2010 σε 82 την ημέρα το 2011.  Η έκθεση ανέφερε επίσης ότι οι στοχευμένες επιθέσεις και οι APTs θα συνεχίσουν να αποτελούν επίμαχο θέμα, ενώ η συχνότητα και η εξέλιξη αυτών των επιθέσεων θα συνεχίζει να αυξάνεται.

Αυτή τη στιγμή η εταιρεία βρίσκεται σε στάδιο περαιτέρω ανάλυσης και διερεύνησης των διαφόρων στοιχείων και πρόσθετες τεχνικές λεπτομέρειες και πληροφορίες για τις επιθέσεις θα δοθούν σε επόμενη επικοινωνία.

 

Περισσότερες πληροφορίες είναι διαθέσιμες στο Security Response blog της Symantec