Že tretji kiber-udarec Iranu

Iranski CERTCC je objavil vest, da so identificirali nov napredni virus Flamer (alias sKyWiper), ki ga protivirusni programi še ne zaznajo. Po Stuxnet in Duqu je to že tretji zlonamerni program, ki ima za tarčo sisteme v Iranu.

Stuxnet je poleti 2010 ciljal na nadzorne sisteme centrifug za bogatenje urana v Iranu in jih preko nadzornega sistema poskusil mehansko poškodovati. Duqu (včasih imenovan tudi "sin Stuxneta" zaradi podobnosti programske kode) leta 2011 ni bil tako destruktiven in je bil namenjen zbiranju informacij sistemov za nadzor industrijskih procesov, ter kraji certifikatov in zasebnih ključev z okuženih sistemov. Po pisanju iranskega CERTCC pa se Flamer širi preko USB ključev in lokalnih omrežij, zna prestrezati omrežni promet in zbira različne podatke iz okuženih sistemov, te pa pošlje na nadzorne strežnike.

Analizo je opravil tudi CrySys Lab, Laboratorij za kriptografijo in varnost sistemov Oddelka za telekomunikacije Univerze za tehnologijo in ekonomijo v Budimpešti. Sami so program poimenovali sKyWiper (na podlagi končnic začasnih datotek, ki jih ustvari) in o njem objavili obsežno poročilo. Iz analize je razvidno, da gre za napreden program, ki uporablja več načinov šifriranja in zakrivanja kode, podatke pa si hrani v podrobno strukturiranu SQLite bazi. Po mnenju CrySys tima zbiranje informacij iz okuženega omrežja še nikoli ni bilo tako skrbno izpeljano v zlonamernem programu.

Bolj ali manj je jasno, da gre za orodje, ki je del programa t.i. kiber-vojskovanja in je bil razvit v vladni službi ene od držav, ki so v dolgoletnem sporu z Iranom. O tem, kako uspešno je Flamer/sKyWiper opravil svojo nalogo priča tudi ugotovitev, da je verjetno neovirano deloval kar več let: od pet do celo osem. To pomeni, da ga vsekakor lahko uvrstimo nekje na vrh v kategoriji ciljanih naprednih in dolgotrajnih groženj (APT, Advanced Persistent Threat).

Sedaj tudi protivirusna podjetja dodajajo zaznavo zanj, F-Secure pa kot zanimivost še navaja razliko v pristopu med Kitajsko in zahodnimi državami: če Kitajska kot vektor napada uporablja lažna elektronska sporočila z "miniranimi" pripetimi dokumenti, Zahod uporablja ciljane vdore in USB ključe za širitev zlonamerne kode.

Vir: SI-CERT, 29.05.2012