Superviruset «FLAME» – den største trusselen noensinne


Flame-virus«Flame», viruset som siden oppdagelsen mandag har skapt et oppstyr verden ikke har sett siden Stuxnet ble kjent sommeren 2010.

Gåtefulle «Flame» anses som 20 ganger mer omfattende enn skrekk-cybervåpenet Stuxnet.

FN: Største trussel noensinne

Det var på oppdrag fra FN-organet ITU (Den internasjonale telekomunionen) at det russiske sikkerhetsfirmaet Kaspersky først ble satt på sporet av det nye superviruset.

En formell advarsel sendes nå ut fra FN til sine medlemsstater, i frykt for at «Flame» kan bli brukt til å bryte ned hele lands digitale infrastruktur i tillegg til det tilsynelatende hovedformålet, som hittil virker å være spionasje.

FNs datasikkerhetssjef og ITU-koordinator Marco Obisi etterlater liten tvil:

– Dette er den mest alvorlige advarselen vi noensinne har sendt ut, uttaler han.

Størrelsen er unik

Siden Kaspersky slapp nyheten mandag, har det som kryper og går av eksperter kastet seg over det nyeste eksemplet på militariseringen av internett.

– Jeg har sett en del målrettet malware opp gjennom tidene. Og det første som slår deg her, er størrelsen. Oftest ligger slik skadevare på 50 til 250 kB, med bakdørtrojanere som enkelt lar seg administrere fra et panel. Men dette her… De enkelte komponentene varierer fra én til 6–7 MB i størrelse. Funksjonaliteten er heller ikke åpenbar, men gjemt bort og kryptert. Ofte er dette lett å se, men ikke her, sier virusanalytiker i Norman, Snorre Fagerland.

Selv har han tilgang på en håndfull Flame-relaterte filer på til sammen rundt 20 MB.

– Men jeg blir ikke overrasket om man her finner en drøss med nye filer, og det viser seg å være langt større enn 20 MB, sier han.

Hvem gjorde det?

Spørsmålet verden stiller seg er: Hvem står bak? Er det Israel og USA, slik mange antar med Stuxnet og Duqu?

De hardest rammede landene (deriblant Iran, Egypt, Syria, Libanon og de palestinske områdene) antyder nettopp dét.

Samtidig er cyberkrigshistorien (se TUs hjemmelagde «best of»-liste under) i ferd med å bli lang, og listen over stater med cyberkapasitet (litt lenger ned) likeså.

Det framstår stadig mer klart at det Kaspersky kaller Flame, som CrySys Lab kaller sKyWIper og som iranske CERTCC kaller Flamer, er én og samme konstruksjon, og ansvarlig for irreversibel sletting av enorme mengder uerstattelige data i Iran nylig, noe som ifølge denne Time-artikkelen særlig rammet landets oljebransje.

– Det tok oss et halvt år å analysere Stuxnet. Dette er 20 ganger mer komplisert. Det vil ta oss ti år å forstå alt fullt ut, erklærer sikkerhetssjef Aleksander Gostev fra Kaspersky.

Tar opp lyd og bilde

Flame-viruset er med andre ord langt fra ferdig kartlagt.

Det man vet fra Kasperskys foreløpige rapport (informative linker på engelsk her og kanskje spesielt her), er at spionprogrammet behersker en rekke informasjonsinnhentingsteknikker parallelt:

Å tappe nettverkstrafikk, registrere tastetrykk (keylog), aktivere mikrofonen/ta opp lyd samt knipse skjermbilder på løpende bånd, aktivert dersom Flame registrerer at «interessante» progammer er åpne – som email og chat.

Det siste gjør at heller ikke tungt krypterte instant messaging-tjenester unnslipper Flames øyne og ører.

Alder: Ukjent

Snorre Fagerlands førsteinntrykk av Flame-­viruset er «et overvåkningsverktøy med så rikt innhold at jeg nesten ikke tror på det», men synes det er vrient å forklare særegenhetene.

– Forenklet kan man ofte se etter dårlige tegn, «spor» i teksten. Sånt ser du ikke her. Det virker nesten tilforlatelig. I headeren ligger det vanligvis en timestamp som forteller når filen er lagd, og de fleste bruker ikke energi på å jukse med den – heller ikke Stuxnet. I Flame er denne åpenbart endret på, og satt tilbake til en tid den åpenbart ikke kunne vært lagd.

Ifølge Kaspersky kan viruset bygge på varianter som strekker seg helt tilbake til 2007.

Fagerland i Norman rangerer fortsatt Stuxnet «øverst».

– Stuxnet er fremdeles storebroren. Den er mer kompakt, men også mye mer konkret i sine sabotasjeaksjoner, og sjonglerte mellom flere teknikker. Jeg tror ikke Flame blir like stor, med mindre det ligger overraskelser i koden vi ikke har skjønt ennå. Men jeg tror den blir like stor som Duqu, sier han.

Kilde: TU.no

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: