Flame, wirus wszech czasów, atakował m.in. z Polski

Karsperky Lab dokonał dogłębnej analizy aktywności wirusa Flame, który niepostrzeżenie przez kilka ostatnich lat rozprzestrzeniał się przy pomocy domen rejestrowanych z wykorzystaniem fałszywych tożsamości. Infrastruktura wirusa była przenoszoną do różnych krajów, w tym do Polski. Tymczasem założyciel firmy Kaspersky ostrzega świat przez coraz głośniejszą cyberwojną.

W latach 2008-2012 twórcy Flame, najbardziej zaawansowanego szkodliwego oprogramowania odkrytego do tej pory, zarejestrowali na całym świecie 80 domen, które służyły do kontrolowania działalności robaka.

Infrastruktura była przenoszona pomiędzy różnymi krajami, m.in. Polską, Hong Kongiem, Niemcami, Malezją, Łotwą, Wielką Brytanią i Szwajcarią. Kasperky Lab w porozumieniu z GoDaddy oraz OpenDNS doprowadził do odłączenia wszystkich domen, w większości zarejestrowanych na sfałszowane lub skradzione tożsamości.

Flame infekował nie tylko na Bliskim Wschodzie ale również w Europie i Ameryce Północnej. Rozprzestrzeniał się głównie przy pomocy plików PDF, dokumentów pakietu Office oraz AutoCad.

Serwery kontrolujące szkodliwe oprogramowanie dane otrzymywały zaszyfrowane ogólnie dostępnym narzędziem Open Source - Zlib. Do kompresji używano formatu PPDM.

Kilka dni temu na łamach New York Times założyciel firmy Kaspersky ostrzegał, że konsekwencje cybernetycznej wojny, w którą angażują się rządy mogą być opłakane.

?Broń cyfrowa to najbardziej niebezpieczna innowacja tego wieku? - stwierdził podczas konferencji CeBIT w Australii.

Oprogramowanie podobne do Flame'a jest coraz tańsze w produkcji - ?tysiące razy tańsze od tradycyjnego arsenału?. A w skutkach może być równie niszczycielskie: atakować sieci energetyczne, infrastrukturę, instytucje finansowe.

Sama firma Kaspersky znajduje się w dość nieciekawej sytuacji. Doniesienia o zagrożeniu rozpowszechniane przez firmę antywirusową zawsze mogą być traktowane jako próba zwiększenia poczucia zagrożenia a więc ?napędzenia? sobie klientów przerażonych wizją infiltracji. Poza tym Kaspersky Lab jest przez niektórych posądzana o związki z władzami Rosji, a ta wystąpiła właśnie do USA z propozycją umowy dwustronnej o zakazie stosowania broni cyfrowej.

Stany Zjednoczone rewanżują się sugestią, że może Rosja najpierw mogłaby rozprawić się z przestępczością internetową, dla której jest rajem. Świat natomiast przypomina, że to właśnie władze Rosji podczas ostatniej wojny z Gruzją aktywnie wykorzystywały broń cyfrową, proponowanie rozejmu jest więc ?ucieczką do przodu? przed oskarżeniami.

Jest jeszcze jeden powód, dla którego firmy antywirusowe wstrzemięźliwie wypowiadają się o pochodzeniu Flame (m.in. F-Secure, Webroot). Ujawniając informacje o wirusie Kaspersky Lab naraził się na gniew rządu, który za oprogramowaniem stoi. Reszta branży woli unikać takich tematów.

?Na następne pięć lat możemy zapomnieć o zamówieniach rządowych z USA? - stwierdził pan Kaspersky.

Flame i jego ?bracia? mogą być też niebezpieczni dla branży antywirusowej, z powodów, dla których wszyscy powinniśmy czuć się niepewnie.

 

[ za nytimes.com, informacja prasowa Kaspersky Lab ]