Computerworld News Service: Nærmere undersøgelse af malwaren Flame, der er blevet sat i forbindelse med den berygtede Stuxnet, viser, at der må findes mindst tre endnu ikke opdagede dele af puslespillet, som alle er udviklet af det samme ukendte udviklingsteam.
Verden fik øjnene op for Flame i maj, da Iran opdagede, at denne malware havde inficeret computere i landets olie-ministerium.
Det blev hurtigt fastslået, at Flame har forbindelse til sabotage-værktøjet Stuxnet, som blev brugt til at ødelægge Irans udstyr til berigelse af uran.
På grund af dette højtprofilerede mål og fordi Stuxnet er så ekstremt avanceret, mistænkes det, at cybervåbnet er udviklet af andre lande, muligvis USA og Israel.
Den seneste analyse af disse cyberangreb er resultatet af en kombineret indsats af Symantec, Kaspersky Lab, International Telecommunication Unions (ITU) it-sikkerhedsteam IMPACT, Tysklands CERT-Bund og landets forbundsstatslige myndighed for it-sikkerhed (BSI).
Er måske flere år gamle
Disse organisationer har i fællesskab fundet ud af, at Flames kommando og kontrol-mekanismer muligvis blev udviklet helt tilbage i december 2006.
I så fald er malwaren meget ældre, end hvad man hidtil har troet, opsummerer Kaspersky Lab i et blogindlæg.
Flame har cirkuleret frit siden 2010, men det har hidtil være uvist, hvornår malwarenn egentlig blev udviklet.
Blandt denne fulde undersøgelses andre væsentlige konklusioner kan nævnes, at Flames kommando og kontrol-system er skabt til at håndtere tre andre stykker malware, der så vidt vides indtil videre ikke er blevet opdaget og hvis formål ikke kendes.
Andre spor peger på, at disse tre ukendte stykker malware måske stadig er under udvikling og derfor endnu ikke aktiverede.
Flame er det digitale spionage-værktøjs svar på schweizerkniven:
Det kan indsamle data, der indtastes i formularer, indsamle kodeord, optage lyd og gemme skærmbilleder.
Hackerne har efterladt deres navne i koden
Flames formål kan have været rekognoscering for at finde frem til de systemer, der senere blev inficeret af Stuxnet, som forstyrrede industrielle kontrolsystemer, der er udviklet af Siemens og anvendt blandt andet af Iran i forbindelse med landets atomprogram.
Flames kommando og kontrol-system er designet til at ligne et harmløst content management-system (CMS). Det anvendte for eksempel diskrete kommandoer og begreber såsom upload, klient, nyheder, blog og annonce, der mere minder om ordbruget fra en almindelig CMS-grænseflade end fra andre botnet-grænseflader.
"Vi regner med, at dette var et bevidst valg med det formål at narre eventuelle systemadministratorer hos hostingfirmaer, som måske kunne finde på at køre en uventet kontrol," skriver Kaspersky.
Har efterladt tidsstempler
I hvert fald nogle af de folk, der har skrevet eller ændret i Flames kode, efterlod underligt nok deres kaldenavne i koden sammen med tidsstempler.
Efterforskerne har identificeret fire personer, som har ændret i koden.
Deres kaldenavne er dog blevet censureret i Kasperskys opsummering.
En af programmørerne lader til at være teamleder, mens en anden er specialist i avanceret kryptografi.
Kaspersky oplyser at have modtaget mange henvendelser med spørgsmål angående, hvor stor en mængde data Flame kan tænkes at have stjålet.
5,5 gigabyte data høstet på en uge
Selvom de stjålne data tilsyneladende blev overført til nye servere hver halve time, så blev Flames operatører af en eller anden grund låst ude af en af de servere, der blev brugt til at indsamle de stjålne data.
Ud fra disse data estimeres det, at Flame kan have indsamlet op til 5,5 gigabyte af komprimeret data på en enkelt uge.
De fik således heller ikke slettet de logfiler, der viser hvor mange offer-computere, der sendte data tilbage.
I løbet af en enkelt uge fra slutningen af marts til starten af april oprettede 3.702 unikke IP-adresser fra Iran forbindelse til denne ene server samt yderligere 1.280 fra Sudan.
"Det fremgik ikke af vores tidligere statistik, at der var tale om noget stort antal infektioner i Sudan, så dette må have været en fokuseret kampagne, der målrettet gik efter systemer i Iran og Sudan," skriver Kaspersky.
Oversat af Thomas Bøndergaard
