Artikel top billede

Top-hackere efterlod deres navne i berygtet kode

Den frygtede Flame-malware har flere søskende, som endnu ikke er blevet sluppet fri, viser opsigtsvækkende dissekering af Flame. Se her, hvad man ellers har fundet ud af.

Computerworld News Service: Nærmere undersøgelse af malwaren Flame, der er blevet sat i forbindelse med den berygtede Stuxnet, viser, at der må findes mindst tre endnu ikke opdagede dele af puslespillet, som alle er udviklet af det samme ukendte udviklingsteam.

Verden fik øjnene op for Flame i maj, da Iran opdagede, at denne malware havde inficeret computere i landets olie-ministerium.

Det blev hurtigt fastslået, at Flame har forbindelse til sabotage-værktøjet Stuxnet, som blev brugt til at ødelægge Irans udstyr til berigelse af uran.

På grund af dette højtprofilerede mål og fordi Stuxnet er så ekstremt avanceret, mistænkes det, at cybervåbnet er udviklet af andre lande, muligvis USA og Israel.

Den seneste analyse af disse cyberangreb er resultatet af en kombineret indsats af Symantec, Kaspersky Lab, International Telecommunication Unions (ITU) it-sikkerhedsteam IMPACT, Tysklands CERT-Bund og landets forbundsstatslige myndighed for it-sikkerhed (BSI).

Er måske flere år gamle

Disse organisationer har i fællesskab fundet ud af, at Flames kommando og kontrol-mekanismer muligvis blev udviklet helt tilbage i december 2006.

I så fald er malwaren meget ældre, end hvad man hidtil har troet, opsummerer Kaspersky Lab i et blogindlæg.

Flame har cirkuleret frit siden 2010, men det har hidtil være uvist, hvornår malwarenn egentlig blev udviklet.

Blandt denne fulde undersøgelses andre væsentlige konklusioner kan nævnes, at Flames kommando og kontrol-system er skabt til at håndtere tre andre stykker malware, der så vidt vides indtil videre ikke er blevet opdaget og hvis formål ikke kendes.

Andre spor peger på, at disse tre ukendte stykker malware måske stadig er under udvikling og derfor endnu ikke aktiverede.

Flame er det digitale spionage-værktøjs svar på schweizerkniven:

Det kan indsamle data, der indtastes i formularer, indsamle kodeord, optage lyd og gemme skærmbilleder.

Hackerne har efterladt deres navne i koden

Flames formål kan have været rekognoscering for at finde frem til de systemer, der senere blev inficeret af Stuxnet, som forstyrrede industrielle kontrolsystemer, der er udviklet af Siemens og anvendt blandt andet af Iran i forbindelse med landets atomprogram.

Flames kommando og kontrol-system er designet til at ligne et harmløst content management-system (CMS). Det anvendte for eksempel diskrete kommandoer og begreber såsom upload, klient, nyheder, blog og annonce, der mere minder om ordbruget fra en almindelig CMS-grænseflade end fra andre botnet-grænseflader.

"Vi regner med, at dette var et bevidst valg med det formål at narre eventuelle systemadministratorer hos hostingfirmaer, som måske kunne finde på at køre en uventet kontrol," skriver Kaspersky.

Har efterladt tidsstempler

I hvert fald nogle af de folk, der har skrevet eller ændret i Flames kode, efterlod underligt nok deres kaldenavne i koden sammen med tidsstempler.

Efterforskerne har identificeret fire personer, som har ændret i koden.

Deres kaldenavne er dog blevet censureret i Kasperskys opsummering.

En af programmørerne lader til at være teamleder, mens en anden er specialist i avanceret kryptografi.

Kaspersky oplyser at have modtaget mange henvendelser med spørgsmål angående, hvor stor en mængde data Flame kan tænkes at have stjålet.

5,5 gigabyte data høstet på en uge

Selvom de stjålne data tilsyneladende blev overført til nye servere hver halve time, så blev Flames operatører af en eller anden grund låst ude af en af de servere, der blev brugt til at indsamle de stjålne data.

Ud fra disse data estimeres det, at Flame kan have indsamlet op til 5,5 gigabyte af komprimeret data på en enkelt uge.

De fik således heller ikke slettet de logfiler, der viser hvor mange offer-computere, der sendte data tilbage.

I løbet af en enkelt uge fra slutningen af marts til starten af april oprettede 3.702 unikke IP-adresser fra Iran forbindelse til denne ene server samt yderligere 1.280 fra Sudan.

"Det fremgik ikke af vores tidligere statistik, at der var tale om noget stort antal infektioner i Sudan, så dette må have været en fokuseret kampagne, der målrettet gik efter systemer i Iran og Sudan," skriver Kaspersky.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere


Analytics, BI og data science: Data-behandling i realtid

Datadrevne løsninger er godt på vej til at vinde indpas i næsten alle industrier - og med god grund. For der er store muligheder i at kunne forstå, fortolke og reagere lynhurtigt på de store datamængder, som alle organisationer genererer. På dette seminar kan du høre om nogle af de bedste eksempler inden for praktisk anvendelse af avanceret data-analyse, hvordan du kommer i gang, og hvordan du kan høste udbytte.

22. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere