Πέμπτη 31 Μαΐου 2012

«W32.Flamer»: αναδυόμενο κακόβουλο λογισμικό, υψηλού κινδύνου



Λευτέρης Ξυκομηνός
Δυστυχώς η ζωή έχει το «συνήθειο» να προσφέρει τα όποια θετικά συνάμα με τα όποια αρνητικά - αντίστοιχα συμβαίνει και στην τεχνολογία: οτιδήποτε θετικό αποκομίζουμε αντισταθμίζεται από το τίμημα της συνεχούς και εξελισσόμενης αρρώστιας της ψηφιακής τεχνολογίας, που ονομάζεται «κακόβουλο» λογισμικό ή αλλιώς malware. 





Η ομάδα Security Response της Symantec βρίσκεται σε διαδικασία ανάλυσης μίας νέας εξελιγμένης και αθόρυβης απειλής με την ονομασία «W32.Flamer». Η σοβαρότητα της απειλής παραλληλίζεται με τα κακόβουλα λογισμικά Stuxnet και Duqu. Η ανάλυση μέχρι στιγμής αποκαλύπτει ότι το malware δημιουργήθηκε με σκοπό να αποσπά πληροφορίες από μολυσμένα συστήματα που βρίσκονται κυρίως στη Μέση Ανατολή.


Σε αντίθεση με τις προηγούμενες δύο απειλές, αυτός ο κώδικας δεν είναι δημιουργημένος από ένα άτομο, αλλά από μία οργανωμένη ομάδα ατόμων με συγκεκριμένες «κατευθυντήριες εντολές». Ο κώδικας περιλαμβάνει πολλαπλές αναφορές στην ακολουθία με την ονομασία «FLAME», οι οποίες είναι ενδεικτικές είτε των περιόδων των επιθέσεων σε διάφορα τμήματα του κώδικα είτε αναφέρεται στην ονομασία ανάπτυξης του malware.





Η απειλή λειτουργούσε αθόρυβα για τουλάχιστον δύο χρόνια, έχοντας τη δυνατότητα να υποκλέπτει αρχεία, να λαμβάνει screenshots (φωτογραφίες) από τα desktop (επιφάνεια εργασίας) των χρηστών, να εξαπλώνεται μέσω USB drive, να απενεργοποιεί προϊόντα ασφαλείας και κάτω από ορισμένες συνθήκες, να εξαπλώνεται σε άλλα συστήματα. Η απειλή μπορεί να είχε επίσης τη δυνατότητα να αξιοποιεί πολλές γνωστές και επιδιορθωμένες ευπάθειες (vulnerabilities) στο Λειτουργικό Σύστημα Windows της Microsoft, με στόχο την εξάπλωσή του στο υπάρχον δίκτυο.


Οι αρχικές μετρήσεις υποδηλώνουν ότι οι στόχοι εστίασης αυτής της απειλής εντοπίζονται κατά κύριο λόγο στη Δυτική Όχθη της Παλαιστίνης, στην Ουγγαρία, το Ιράν και τον Λίβανο. Άλλοι στόχοι είναι οι Ρωσία, Αυστρία, Χονγκ Κονγκ και τα Ηνωμένα Αραβικά Εμιράτα.


Οι τομείς της βιομηχανίας που έχουν πέσει θύματα επιθέσεων αυτή τη στιγμή δεν είναι ξεκάθαροι. Παρ' όλα αυτά, οι αρχικές ενδείξεις δείχνουν ότι η στόχευση των θυμάτων μπορεί να μην έγινε για τον ίδιο σκοπό.


Πολλά από τα ψηφιακά θύματα φαίνεται να βρέθηκαν σε αυτή τη θέση λόγω ατομικών, προσωπικών δραστηριοτήτων, παρά λόγω της εταιρείας στην οποία εργάζονται. Παρουσιάζει ενδιαφέρον ότι, εκτός από συγκεκριμένους οργανισμούς που έπεσαν θύματα επίθεσης, αρκετά από τα συστήματα που δέχθηκαν επίθεση φαίνεται ότι είναι προσωπικοί υπολογιστές που χρησιμοποιούνται για σύνδεση στο Διαδίκτυο από το σπίτι.





Η πρόσφατη έκθεση της Symantec, «Internet Security Threat Report 17», εντόπισε δραματική αύξηση στον αριθμό των στοχευμένων επιθέσεων κατά τη διάρκεια του 2011, από 77 κατά μέσο όρο την ημέρα το 2010, σε 82 την ημέρα το 2011. Η έκθεση ανέφερε επίσης ότι οι στοχευμένες επιθέσεις και οι APTs θα εξακολουθήσουν να αποτελούν επίμαχο θέμα, ενώ η συχνότητα και η εξέλιξη αυτών των επιθέσεων θα συνεχίσει να αυξάνεται.


Αυτή τη στιγμή η εταιρεία βρίσκεται σε στάδιο περαιτέρω ανάλυσης - διερεύνησης των διαφόρων στοιχείων, ενώ πρόσθετες τεχνικές λεπτομέρειες και πληροφορίες για τις επιθέσεις θα δοθούν σε επόμενη επικοινωνία.


Περισσότερες πληροφορίες:


http://www.symantec.com/connect/blogs/flamer-highly-sophisticated-and-discreet-threat-targets-middle-east
zougla.gr