Analiza

‘Flame’, infiltruesi i kompjuterëve iranian

May 30 2012
0 Shpërndarje
‘Flame’, infiltruesi i kompjuterëve iranian

Çfarë është saktësisht Flame? Çfarë do bëni me të?
Flame (flaka) është një mjet sulmues, e cila është shumë më komplekse sesa Duqu. Është një derë e fshehtë, një trojan dhe ka si karakteristikë, ta lejojë atë për të ndërhyrë në një rrjet lokal dhe në medium, nëse është udhëzuar nga mjeshtri i saj.

Kur një sistem është i infektuar, flame merr pjesë në një grup kompleks të operacioneve, duke u përfshirë edhe si kalimtarë i padukshëm në trafikun e rrjetit, duke marrë pamje të çastit, duke regjistruar biseda me zë, duke ndërhyrë në tastierë  dhe kështu me radhë. Të gjitha këto të dhëna janë në dispozicion për operatorët për lidhjen me servërat e komandës dhe kontrollit të Flame-it. Më vonë, operatorët mund të ngarkojnë  module të tjera, të cilat zgjerojnë funksionimin e Flame-it. Ekzistojnë rreth 20 module në total dhe shumica e tyre është ende duke u investiguar.

Sa i sofistikuar është Flame dhe ku ndryshon nga keqdashësit e tjerë?
Flame është një paketë e madhe e moduleve me përbërje pothuajse 20 MB. Është një pjesë jashtëzakonisht e vështirë për t’u analizuar në raport me keqdashësit e tjerë. Arsyeja pse Flame është aq i madh është sepse përfshin shumë foldera të ndryshëm, të tilla si: simbolit zlib, libbz2, ppmd dhe manipulimin e bazës së të dhënave sqlite3, së bashku me një makinë virtuale Lua.

Lua është një gjuhë programuese, që mund të zgjatet shumë lehtë dhe të ndërlidhet me kodin C. Shumë pjesë të Flame-it kanë aftësi të lartë me shkrimin në Lua (përdorimi i Lua ështëi pazakontë te keqdashësit) – me  sulme efektive dhe foldera të përpiluara nga C + +. Norma efektive e kodit Lua është mjaft e vogël në krahasim me kodin e përgjithshëm.

Vlerësimi  i kostos së zhvillimit të Kaspersky-së në Lua është mbi 3000 rreshta brenda kodit dhe një zhvilluesi mesatar i duhet të merret rreth një muaj për ta krijuar dhe korrigjuar. Janë disa ndërhyrje në bazën e të dhënave në serinë SQL, me metoda të shumta të lëvizjes dhe krahasimit, në përdorimin e Ëindoës scripting, në menaxhimin e instrumentimit, etj.

Një tjetër element për t’u habitur është madhësia e paketës së Flame-it. Praktika e fshehjes përmes sasive të mëdha të kodit është një nga veçoritë specifike të reja në Flame.

Si i infekton kompjuterat?
Flame mund të infektojë kompjuterat nëpërmjet USB -ve, AutoRun Infector, rrjetet lokale, printerat e dobët, etj. Flame ka dy module të projektuar për infektimin  eUSB-ve, që quhen “Autorun Infector” dhe “Euphoria”. Kaspersky Labs nuk e kanë provuar ndonjëherë mosfunksionimin, megjithatë krimbi njihet kur infekton plotësisht Ëindoës 7 përmes rrjetit, duke shfaqur një rrezik të lartë.

Si e vjedh Flame informacionin?
Nëse dikush është i pranishëm, Flame është në gjendje të regjistrojë zërin nëpërmjet mikrofonit. Flame ruan zërin e regjistruar në format të ngjeshur, gjë që e bën nëpërmjet përdorimit të një folderi publik. Të dhënat e regjistruara dërgohen në C & C përmes një kanali të fshehtë SSL, në një orar të rregullt.

Kedashësit kanë aftësinë për të marrë rregullisht pamje të shpejta dhe interesante, ku disa janë “të ndjeshme”. Pamjet e shpejta ruhen në format të ngjeshur dhe dërgohen rregullisht në servërin C & C, vetëm si regjistrime audio.

Një tjetër tipar kurioz i Flame është përdorimi i pajisjes Bluetooth. Kur Bluetooth është në dispozicion dhe opsioni korrespondues është kthyer në bllokun e konfigurimit, Flame mbledh informacione në lidhje me pajisjet pranë mjetit të infektuar. Në varësi të konfigurimit, Flame mund të kthehet në një ndriçues dhe të bëhet i pambulueshëm nëpërmjet Bluetooth-it si dhe të sigurojë informacion të përgjithshëm në lidhje me statusin e keqdashësve, të cilët janë të koduar tek të dhënat e pajisjes.

Çfarë të dhënash dhe informacionesh zotërojnë sulmuesit tek ata që janë infektuar?
Duke analizuar Kaspersky, duket se synimi iFlame është që të shikojmë për ndonjë lloj të zbulimit në E-mail, dokumente, mesazhe, diskutimet brenda lokacioneve, etj.

Flame është shumë herë më i përhapur se Duqu, ka sulmuar ndoshta me mijëra viktima në mbarë botën. Synimet janë të gjera, duke përfshirë akademikë, kompanitë private, individë të veçanta, etj.

A ka ngjashmëri me Duqu apo Stuxnet? Është i njëjti grup që i krijoi?
Flame nuk ka ngjashmëri të mëdha me Stuxnet / Duqu. Flame është një projekt që u zhvillua paralelisht me Stuxnet / Duqu, dhe nuk përdori platformën Tilded, ndryshe Duqu. Megjithatë, prania e disa lidhjeve mund të tregojë se krijuesit e Flame kanë pasur ndikim në teknologjinë e përdorur në projektin e Stuxnet –it, si rezultat i metodës së infeksionit “autorun.inf”, së bashku me shfrytëzimin e ndjeshmërisë Spooler, e përdorur nga Stuxnet.

Ka mundësi që autorët e Flame kanë përdorur informacion publik në lidhje me metodat e shpërndarjes së Stuxnet për të punuar në Flame.

Sipas hulumtimit të Kaspersky , operatorët e Flame, mbështesin artificialisht sasinë e sistemeve të infektuar në një nivel të caktuar. Kjo mund të krahasohet me një përpunim të tillë: ata infektojnë disa dhjetra, pastaj kryejnë analiza të të dhënave të viktimës, çinstalojnë Flame nga sistemet që nuk janë interesante, duke i lënë më të rëndësishmet në vend, duke filluar kështu me një seri të re të infeksioneve.

Flame, a mund të vetë-përsëritet si Stuxnet?
Pjesa përsëritje duket se është e  urdhëruar, si Duqu dhe e kontrolluar edhe me skedarin e konfigurimit. Shumica e infeksioneve kanë vendet e sulmeve të kryera dhe janë të kufizuar në një numër specifik të sulmeve të lejuara.

FAQ është hartuar me ndihmën e inputeve nga Aleks Gostev, Shefi i Sigurimit i Kërkimit Global dhe Analist i Ekipit të Kaspersky Lab. (PCWorld Albanian)

Lajmet e fundit>