Artikel top billede

Top-hackere efterlod deres navne i berygtet kode

Den frygtede Flame-malware har flere søskende, som endnu ikke er blevet sluppet fri, viser opsigtsvækkende dissekering af Flame. Se her, hvad man ellers har fundet ud af.

Computerworld News Service: Nærmere undersøgelse af malwaren Flame, der er blevet sat i forbindelse med den berygtede Stuxnet, viser, at der må findes mindst tre endnu ikke opdagede dele af puslespillet, som alle er udviklet af det samme ukendte udviklingsteam.

Verden fik øjnene op for Flame i maj, da Iran opdagede, at denne malware havde inficeret computere i landets olie-ministerium.

Det blev hurtigt fastslået, at Flame har forbindelse til sabotage-værktøjet Stuxnet, som blev brugt til at ødelægge Irans udstyr til berigelse af uran.

På grund af dette højtprofilerede mål og fordi Stuxnet er så ekstremt avanceret, mistænkes det, at cybervåbnet er udviklet af andre lande, muligvis USA og Israel.

Den seneste analyse af disse cyberangreb er resultatet af en kombineret indsats af Symantec, Kaspersky Lab, International Telecommunication Unions (ITU) it-sikkerhedsteam IMPACT, Tysklands CERT-Bund og landets forbundsstatslige myndighed for it-sikkerhed (BSI).

Er måske flere år gamle

Disse organisationer har i fællesskab fundet ud af, at Flames kommando og kontrol-mekanismer muligvis blev udviklet helt tilbage i december 2006.

I så fald er malwaren meget ældre, end hvad man hidtil har troet, opsummerer Kaspersky Lab i et blogindlæg.

Flame har cirkuleret frit siden 2010, men det har hidtil være uvist, hvornår malwarenn egentlig blev udviklet.

Blandt denne fulde undersøgelses andre væsentlige konklusioner kan nævnes, at Flames kommando og kontrol-system er skabt til at håndtere tre andre stykker malware, der så vidt vides indtil videre ikke er blevet opdaget og hvis formål ikke kendes.

Andre spor peger på, at disse tre ukendte stykker malware måske stadig er under udvikling og derfor endnu ikke aktiverede.

Flame er det digitale spionage-værktøjs svar på schweizerkniven:

Det kan indsamle data, der indtastes i formularer, indsamle kodeord, optage lyd og gemme skærmbilleder.

Hackerne har efterladt deres navne i koden

Flames formål kan have været rekognoscering for at finde frem til de systemer, der senere blev inficeret af Stuxnet, som forstyrrede industrielle kontrolsystemer, der er udviklet af Siemens og anvendt blandt andet af Iran i forbindelse med landets atomprogram.

Flames kommando og kontrol-system er designet til at ligne et harmløst content management-system (CMS). Det anvendte for eksempel diskrete kommandoer og begreber såsom upload, klient, nyheder, blog og annonce, der mere minder om ordbruget fra en almindelig CMS-grænseflade end fra andre botnet-grænseflader.

"Vi regner med, at dette var et bevidst valg med det formål at narre eventuelle systemadministratorer hos hostingfirmaer, som måske kunne finde på at køre en uventet kontrol," skriver Kaspersky.

Har efterladt tidsstempler

I hvert fald nogle af de folk, der har skrevet eller ændret i Flames kode, efterlod underligt nok deres kaldenavne i koden sammen med tidsstempler.

Efterforskerne har identificeret fire personer, som har ændret i koden.

Deres kaldenavne er dog blevet censureret i Kasperskys opsummering.

En af programmørerne lader til at være teamleder, mens en anden er specialist i avanceret kryptografi.

Kaspersky oplyser at have modtaget mange henvendelser med spørgsmål angående, hvor stor en mængde data Flame kan tænkes at have stjålet.

5,5 gigabyte data høstet på en uge

Selvom de stjålne data tilsyneladende blev overført til nye servere hver halve time, så blev Flames operatører af en eller anden grund låst ude af en af de servere, der blev brugt til at indsamle de stjålne data.

Ud fra disse data estimeres det, at Flame kan have indsamlet op til 5,5 gigabyte af komprimeret data på en enkelt uge.

De fik således heller ikke slettet de logfiler, der viser hvor mange offer-computere, der sendte data tilbage.

I løbet af en enkelt uge fra slutningen af marts til starten af april oprettede 3.702 unikke IP-adresser fra Iran forbindelse til denne ene server samt yderligere 1.280 fra Sudan.

"Det fremgik ikke af vores tidligere statistik, at der var tale om noget stort antal infektioner i Sudan, så dette må have været en fokuseret kampagne, der målrettet gik efter systemer i Iran og Sudan," skriver Kaspersky.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere