Top-hackere efterlod deres navne i berygtet kode

Den frygtede Flame-malware har flere søskende, som endnu ikke er blevet sluppet fri, viser opsigtsvækkende dissekering af Flame. Se her, hvad man ellers har fundet ud af.

Artikel top billede

Computerworld News Service: Nærmere undersøgelse af malwaren Flame, der er blevet sat i forbindelse med den berygtede Stuxnet, viser, at der må findes mindst tre endnu ikke opdagede dele af puslespillet, som alle er udviklet af det samme ukendte udviklingsteam.

Verden fik øjnene op for Flame i maj, da Iran opdagede, at denne malware havde inficeret computere i landets olie-ministerium.

Det blev hurtigt fastslået, at Flame har forbindelse til sabotage-værktøjet Stuxnet, som blev brugt til at ødelægge Irans udstyr til berigelse af uran.

På grund af dette højtprofilerede mål og fordi Stuxnet er så ekstremt avanceret, mistænkes det, at cybervåbnet er udviklet af andre lande, muligvis USA og Israel.

Den seneste analyse af disse cyberangreb er resultatet af en kombineret indsats af Symantec, Kaspersky Lab, International Telecommunication Unions (ITU) it-sikkerhedsteam IMPACT, Tysklands CERT-Bund og landets forbundsstatslige myndighed for it-sikkerhed (BSI).

Er måske flere år gamle

Disse organisationer har i fællesskab fundet ud af, at Flames kommando og kontrol-mekanismer muligvis blev udviklet helt tilbage i december 2006.

I så fald er malwaren meget ældre, end hvad man hidtil har troet, opsummerer Kaspersky Lab i et blogindlæg.

Flame har cirkuleret frit siden 2010, men det har hidtil være uvist, hvornår malwarenn egentlig blev udviklet.

Blandt denne fulde undersøgelses andre væsentlige konklusioner kan nævnes, at Flames kommando og kontrol-system er skabt til at håndtere tre andre stykker malware, der så vidt vides indtil videre ikke er blevet opdaget og hvis formål ikke kendes.

Andre spor peger på, at disse tre ukendte stykker malware måske stadig er under udvikling og derfor endnu ikke aktiverede.

Flame er det digitale spionage-værktøjs svar på schweizerkniven:

Det kan indsamle data, der indtastes i formularer, indsamle kodeord, optage lyd og gemme skærmbilleder.

Hackerne har efterladt deres navne i koden

Flames formål kan have været rekognoscering for at finde frem til de systemer, der senere blev inficeret af Stuxnet, som forstyrrede industrielle kontrolsystemer, der er udviklet af Siemens og anvendt blandt andet af Iran i forbindelse med landets atomprogram.

Flames kommando og kontrol-system er designet til at ligne et harmløst content management-system (CMS). Det anvendte for eksempel diskrete kommandoer og begreber såsom upload, klient, nyheder, blog og annonce, der mere minder om ordbruget fra en almindelig CMS-grænseflade end fra andre botnet-grænseflader.

"Vi regner med, at dette var et bevidst valg med det formål at narre eventuelle systemadministratorer hos hostingfirmaer, som måske kunne finde på at køre en uventet kontrol," skriver Kaspersky.

Har efterladt tidsstempler

I hvert fald nogle af de folk, der har skrevet eller ændret i Flames kode, efterlod underligt nok deres kaldenavne i koden sammen med tidsstempler.

Efterforskerne har identificeret fire personer, som har ændret i koden.

Deres kaldenavne er dog blevet censureret i Kasperskys opsummering.

En af programmørerne lader til at være teamleder, mens en anden er specialist i avanceret kryptografi.

Kaspersky oplyser at have modtaget mange henvendelser med spørgsmål angående, hvor stor en mængde data Flame kan tænkes at have stjålet.

5,5 gigabyte data høstet på en uge

Selvom de stjålne data tilsyneladende blev overført til nye servere hver halve time, så blev Flames operatører af en eller anden grund låst ude af en af de servere, der blev brugt til at indsamle de stjålne data.

Ud fra disse data estimeres det, at Flame kan have indsamlet op til 5,5 gigabyte af komprimeret data på en enkelt uge.

De fik således heller ikke slettet de logfiler, der viser hvor mange offer-computere, der sendte data tilbage.

I løbet af en enkelt uge fra slutningen af marts til starten af april oprettede 3.702 unikke IP-adresser fra Iran forbindelse til denne ene server samt yderligere 1.280 fra Sudan.

"Det fremgik ikke af vores tidligere statistik, at der var tale om noget stort antal infektioner i Sudan, så dette må have været en fokuseret kampagne, der målrettet gik efter systemer i Iran og Sudan," skriver Kaspersky.

Oversat af Thomas Bøndergaard

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    SAP Bruger- og rolleadministrator ved Forsvarsministeriets Regnskabsstyrelse

    Nordjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Kontorchef til Forsvarsministeriets Materiel- og Indkøbsstyrelses CIO-kontor

    Københavnsområdet

    Netcompany A/S

    IT Consultant

    Københavnsområdet

    Rambøll Management Consulting

    Senior AI Engineer

    Midtjylland

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S

    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse