Postet til: Internett, Media & Software

Flame: Etterretningens nye supersoldat


I 2010 skrev vi om Stuxnet, ormen som i sin tid utvilsomt var noe av det mest fascinerende innen cyberterrorisme, og som tatt ut av en Tom Clancy-novelle. I 2012 ser Stuxnet ut som et gutteromsprosjekt i forhold til den nyoppdagede ormen Flame.

Sabotage #6: Loading metal into the microwave
Sabotage #6: Loading metal into the microwave by Stéfan, on Flickr

Den nye ormen Flame er den mest sofistikerte trusselen antivirusindustrien noen sinne har sett. Kaspersky Lab, som fant ormen på en mengde kundemaskiner i Iran (med hele 189 tilfeller), Palestina, Sudan, Syria og flere andre land, har pga. ormens referanser til hovedmodulen, gitt den navnet Worm.Win32.Flame.

Stuxnet, som med sin størrelse på én megabyte ble sett på som ganske omfattende i 2010, er knøttliten i forhold til Flame, som har en referansestørrelse på rundt 20 megabyte.

Hvordan fungerer den?

Flame er kodet i Lua, et språk med økende popularitet innenfor både webutviklings- og verktøyverdenen. Lua er et ganske lettfattelig språk (ikke ulikt Python, Ruby og språk av en lignende karakter), som har mulighet til å kommunisere med submoduler skrevet i lavnivåspråk (som C). Dette gjør språket egnet til utvikling av virus, ormer og andre applikasjoner som har behov for å gjøre operasjoner som ligger nært på operativsystemet.

Eksempel på slike operasjoner er å ta skjermbilder, lytte på nettverkstrafikk, ta opp lyd fra maskinens mikrofon og lytte på tastetrykk.

Flames Lua-kode er på cirka 3000 linjer, og the Lab anslår at det har tatt omtrent én måned å sette sammen denne porsjonen av koden. Men Flame henter også inn fem forskjellige kompresjonsmoduler, en databasemodul (SQLite) og ikke minst en virtuell maskin for å kjøre Lua, som til sammen utgjør en kodemasse på 20 megabyte.

First of all, Flame is a huge package of modules comprising almost 20 MB in size when fully deployed. Because of this, it is an extremely difficult piece of malware to analyze. The reason why Flame is so big is because it includes many different libraries, such as for compression (zlib, libbz2, ppmd) and database manipulation (sqlite3), together with a Lua virtual machine.

The Flame: Questions and Answers

Kaspersky antar at det kommer til å ta ti år å sette seg inn i koden.

Hva gjør den?

Som nevnt i forrige avsnitt, lytter Flame på alt fra nettverkstrafikk til datamaskinens mikrofon til hvilke taster en bruker trykker på. Hvis maskinen har Bluetooth, kan Flame ta kontroll over denne og trådløst hente data (som f.eks. kontaktinformasjon) fra nærliggende maskiner. Alle maskinens Skype-samtaler blir også lagret av ormen. Når den i tillegg har anledning til å ta bilde av maskinens skjerm og sende alt innhold over nettet, har du en orm som er i stand til å gjøre mye skade i feil hender.

Popular Science - What could possibly go wrong: Stuxnet

Men slapp av, den bryr seg ikke om deg

Flame er, som Stuxnet, spesialskrudd mot datamaskiner innenfor industrien. Kaspersky Labs har hittil uttalt at ormen er funnet på rundt 1000 maskiner, alle i midtøsten, og mesteparten tilsynelatende innenfor olje- og energisektoren.

Flame infiserer maskiner på samme måte som Stuxnet, og har iallfall gjort dette siden 2010. Den spres via lokalnettverk og USB-pinne, og infiserer maskiner gjennom et såklart rootkit – en operasjon som bytter ut deler av operativsystemets kjerne med en modifisert versjon, som gjør det hele veldig vanskelig å oppdage. Flame undersøker i tillegg på forhånd maskinen den skal infisere: Ormen sjekker hvilke antivirusprogrammer som er installert på maskinen, og modifiserer seg selv ut i fra dette for å unngå å bli oppdaget. Dette er ganske avanserte greier.

What are the ways it infects computers? USB Sticks? Was it exploiting vulnerabilities other than the print-spooler to bypass detection? Any 0-Days?

Flame appears to have two modules designed for infecting USB sticks, called “Autorun Infector” and “Euphoria”. We haven’t seen them in action yet, maybe due to the fact that Flame appears to be disabled in the configuration data. Nevertheless, the ability to infect USB sticks exists in the code, and it’s using two methods:

1. Autorun Infector: the “Autorun.inf” method from early Stuxnet, using the “shell32.dll” “trick”. What’s key here is that the specific method was used only in Stuxnet and was not found in any other malware since.

2. Euphoria: spread on media using a “junction point” directory that contains malware modules and an LNK file that trigger the infection when this directory is opened. Our samples contained the names of the files but did not contain the LNK itself.

The Flame: Questions and Answers

Hvor Stuxnet var en orm som i all hovedsak drev med sabotasje, ser Flame ut til å være en orm spesialskrudd mot å å samle inn data. Den gjør ingenting med vertsmaskinen som på noen måte skader den. Flere rapporter viser til at ormen hovedsaklig er skrudd mot olje- og energibransjen, og fra flere hold går det rykter om at ormen – på lik linje med Stuxnet – har sitt opphav fra Israel. Flame har også referanser til datoer så langt tilbake som i 2007, som er samme tid som Stuxnet ble oppdaget. Det spekuleres derfor i at både Flame, Stuxnet og Stuxnets bror Duqu har samme nasjonalitet, selv om det i kodens struktur ikke er noe som tilsier dette.

Og du trodde den kalde krigen var over

Hvor man under den kalde krigen aktivt rekruterte dobbeltagenter til å lekke informasjon om fiendens atomprogrammer, foregår det i dag på en litt mer høyteknologisk og sofistikert måte.

Man er fortsatt til en viss grad avhengig av å rekruttere fienden, eller å komme seg inn i dens fasiliteter, men i stedet for å med et mikrokamera ta bilder av en bunke dokumenter, setter man nå en USB-pinne inn i en maskin, og sender enorme informasjonsmengder over fiberlinjer til andre siden av Atlanterhavet. Informasjonsinnhenting har blitt en operasjon som krever store team med intrikat kunnskap om hvordan en datamaskin fungerer, i tillegg til de tradisjonelle agentene man kjenner fra etterretningstjenestens tidligere arbeidsmåter.

Hvordan tror du terrorister og etterretningstjenester kommer til å hente informasjon i fremtiden? Kommer vi til å se mer av denne typen høyteknologisk etterretning?

5 kommentarer

    • For å spekulere, så skal nok det være years, ut i fra følgende sitat fra et intervju med Alexander Gostev (Kaspersky) i Wired Magazine:

      Gostev says that because of its size and complexity, complete analysis of the code may take years.

      “It took us half a year to analyze Stuxnet,” he said. “This is 20 times more complicated. It will take us 10 years to fully understand everything.”

      Meet Flame

      Uansett takker jeg for korrekturlesingen – det settes alltid pris på! :)

      Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Du kan bruke disse HTML-kodene og -egenskapene: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>