Artikel top billede

Top-hackere efterlod deres navne i berygtet kode

Den frygtede Flame-malware har flere søskende, som endnu ikke er blevet sluppet fri, viser opsigtsvækkende dissekering af Flame. Se her, hvad man ellers har fundet ud af.

Computerworld News Service: Nærmere undersøgelse af malwaren Flame, der er blevet sat i forbindelse med den berygtede Stuxnet, viser, at der må findes mindst tre endnu ikke opdagede dele af puslespillet, som alle er udviklet af det samme ukendte udviklingsteam.

Verden fik øjnene op for Flame i maj, da Iran opdagede, at denne malware havde inficeret computere i landets olie-ministerium.

Det blev hurtigt fastslået, at Flame har forbindelse til sabotage-værktøjet Stuxnet, som blev brugt til at ødelægge Irans udstyr til berigelse af uran.

På grund af dette højtprofilerede mål og fordi Stuxnet er så ekstremt avanceret, mistænkes det, at cybervåbnet er udviklet af andre lande, muligvis USA og Israel.

Den seneste analyse af disse cyberangreb er resultatet af en kombineret indsats af Symantec, Kaspersky Lab, International Telecommunication Unions (ITU) it-sikkerhedsteam IMPACT, Tysklands CERT-Bund og landets forbundsstatslige myndighed for it-sikkerhed (BSI).

Er måske flere år gamle

Disse organisationer har i fællesskab fundet ud af, at Flames kommando og kontrol-mekanismer muligvis blev udviklet helt tilbage i december 2006.

I så fald er malwaren meget ældre, end hvad man hidtil har troet, opsummerer Kaspersky Lab i et blogindlæg.

Flame har cirkuleret frit siden 2010, men det har hidtil være uvist, hvornår malwarenn egentlig blev udviklet.

Blandt denne fulde undersøgelses andre væsentlige konklusioner kan nævnes, at Flames kommando og kontrol-system er skabt til at håndtere tre andre stykker malware, der så vidt vides indtil videre ikke er blevet opdaget og hvis formål ikke kendes.

Andre spor peger på, at disse tre ukendte stykker malware måske stadig er under udvikling og derfor endnu ikke aktiverede.

Flame er det digitale spionage-værktøjs svar på schweizerkniven:

Det kan indsamle data, der indtastes i formularer, indsamle kodeord, optage lyd og gemme skærmbilleder.

Hackerne har efterladt deres navne i koden

Flames formål kan have været rekognoscering for at finde frem til de systemer, der senere blev inficeret af Stuxnet, som forstyrrede industrielle kontrolsystemer, der er udviklet af Siemens og anvendt blandt andet af Iran i forbindelse med landets atomprogram.

Flames kommando og kontrol-system er designet til at ligne et harmløst content management-system (CMS). Det anvendte for eksempel diskrete kommandoer og begreber såsom upload, klient, nyheder, blog og annonce, der mere minder om ordbruget fra en almindelig CMS-grænseflade end fra andre botnet-grænseflader.

"Vi regner med, at dette var et bevidst valg med det formål at narre eventuelle systemadministratorer hos hostingfirmaer, som måske kunne finde på at køre en uventet kontrol," skriver Kaspersky.

Har efterladt tidsstempler

I hvert fald nogle af de folk, der har skrevet eller ændret i Flames kode, efterlod underligt nok deres kaldenavne i koden sammen med tidsstempler.

Efterforskerne har identificeret fire personer, som har ændret i koden.

Deres kaldenavne er dog blevet censureret i Kasperskys opsummering.

En af programmørerne lader til at være teamleder, mens en anden er specialist i avanceret kryptografi.

Kaspersky oplyser at have modtaget mange henvendelser med spørgsmål angående, hvor stor en mængde data Flame kan tænkes at have stjålet.

5,5 gigabyte data høstet på en uge

Selvom de stjålne data tilsyneladende blev overført til nye servere hver halve time, så blev Flames operatører af en eller anden grund låst ude af en af de servere, der blev brugt til at indsamle de stjålne data.

Ud fra disse data estimeres det, at Flame kan have indsamlet op til 5,5 gigabyte af komprimeret data på en enkelt uge.

De fik således heller ikke slettet de logfiler, der viser hvor mange offer-computere, der sendte data tilbage.

I løbet af en enkelt uge fra slutningen af marts til starten af april oprettede 3.702 unikke IP-adresser fra Iran forbindelse til denne ene server samt yderligere 1.280 fra Sudan.

"Det fremgik ikke af vores tidligere statistik, at der var tale om noget stort antal infektioner i Sudan, så dette må have været en fokuseret kampagne, der målrettet gik efter systemer i Iran og Sudan," skriver Kaspersky.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Brand din forretning og skab nye leads med Microsoft Dynamics 365 til marketing

Vidste du, at Microsoft Dynamics også byder på stærk funktionalitet til marketingafdelingen? På kun 1 1/2 time inspirerer vi dig til, hvordan du kan bruge Dynamics 365 Marketing til at brande din forretning og skabe nye leads.

17. maj 2021 | Læs mere


Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere


Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere






Premium
Kombit har fundet leverandør til udbud på 120 millioner kroner: Her er vinderen af udbuddet om Nemrefusion 3.0
Der er nu fundet en vinder af udbuddet om Nemrefusion 3.0, der skal løses de samme opgaver, som den tidligere udgave systemet, men bliver mere moderne og brugervenlig.
Computerworld
Stor krise i den danske it-stjerne David Heinemeiers Hanssons firma: Her er historien om dramaet, der fik en tredjedel af de ansatte i Basecamp til at smække med døren
De ansatte har i hobe forladt David Heinemeier Hanssons amerikanske succes-firma Basecamp efter en intern racisme-debat. Hvordan kunne det gå så galt?
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Har du både dine applikationer og dit hoved i skyen?
Kan du nikke ja til en eller flere af disse situationer? • I bruger mange cloud-applikationer • I logger ind fra flere lokationer • I logger ind fra flere forskellige typer af devices Så kan du få stort udbytte af at læse dette whitepaper … Hver dag tilgår, navigerer og arbejder jeres medarbejdere i de applikationer, I har liggende i ”skyen”. Antallet af cloud-baserede applikationer stiger eksplosivt, så hvordan sikrer I ADGANGEN til dem og til de data, som applikationerne indeholder? Vel at mærke uden at gå på kompromis med BRUGERVENLIGHEDEN? Løsningen er Access Management, som er hovedtemaet for dette whitepaper.