Twórcy Flame mieli silne wsparcie. Od...

Twórcy Flame mieli silne wsparcie. Od...

Fot. sxc/cc/flaivoloka

Analitycy bezpieczeństwa odkryli bliski związek między dwoma najsłynniejszymi i najbardziej złożonymi odmianami złośliwego kodu - robakami Stuxnet i Flame.

Ich zdaniem zespoły tworzące te obie odmiany złośliwego kodu wiedziały o sobie i ze sobą współpracowały - poinformował Computerworld. Jak powiedział Computerworld Roel Schouwenberg, główny badacz firmy bezpieczeństwa Kaspersky Lab, analitycy są pewni, że zespół programistów Flame wymieniał część kodu źródłowego z grupą, która tworzyła robaka Stuxnet. Mamy też dowód, że te dwie grupy pracowały razem co najmniej w jednym przypadku - dodał.

Dowodem, o którym mówi Schouwenberg, jest budowa modułu do rozprzestrzeniania się malware i robaka. Umożliwia on infekcje komputerów poprzez pendrive USB oraz wykorzystuje lukę systemową, załataną przez Microsoft w czerwcu 2009 r. Według analityków używały go wczesne wersje Flame (pozostałości z tych wersji znajdują się w obecnym kodzie malware) oraz pierwsza wersja Stuxnetu z 2009 roku. Moduł infekcji przez lukę systemową w obu przypadkach wygląda tak samo, więc prawdopodobnie wyszedł spod ręki jednego programisty.

Przesuwałoby to czas powstania pierwszych wersji Flame na nie później niż lato 2008 r. Jak sądzą eksperci z Kaspersky Lab, prawdopodobnie programistom chodziło o stworzenie całego rozwiązania do rozpoznania i ataku składającego się z atakującego Stuxnetu i rozpoznającego sieci Flame. Jak zauważył analityk z Kaspersky Lab, własności intelektualnej, jaką jest kod źródłowy, nie rozpowszechnia się łatwo, ponieważ jest ona źródłem potencjalnych dochodów, nawet wśród programistów malware. Obecność takiego samego modułu w Stuxnet i Flame świadczy więc o bardzo bliskiej współpracy twórców obu robaków.

Jak uważa Roel Schouwenberg, istniały prawdopodobnie dwie wersje Stuxnet. Pierwszą była wersja Stuxnet.a z 2009 roku, wykryta przez białoruską firmę bezpieczeństwa w czerwcu 2009 r. Była ona mniej agresywna, ale z rozbudowanymi mechanizmami ukrywania kodu, identycznymi jak zastosowane we Flame, oraz takim samym modułem infekcji poprzez lukę systemową. Druga wersja, Stuxnet.b z roku 2010, była agresywniejsza, łatwiej rozprzestrzeniająca się w sieci, ale łatwiejsza również do rozpoznania, bowiem mechanizm ukrywania kodu został poświęcony na rzecz agresywności.

Analityk z Kaspersky Lab uważa, że dopiero w 2010 roku zespoły tworzące Stuxnet i Flame zaczęły pracować oddzielnie. W Stuxnet.b usunięto moduł infekcji poprzez lukę systemową, bowiem Microsoft załatał ją w czerwcu 2009 r., i dodano rozwiązanie do infekcji poprzez inną lukę jeszcze w owym czasie nie załataną.

Rozwiązanie infekcji poprzez lukę systemową pozostało w późniejszych wersjach Flame, co ułatwiło odnalezienie go przez analityków. Przeznaczenie obu typów malware jest jednak zupełnie różne.

Stuxnet był agresywnym robakiem, korzystającym z nieznanych 5 luk systemowych Microsoft Windows. Jego infekcje dotyczyły zainstalowanego systemu nadzoru i kontroli przemysłowej Siemens Simatic WinCC SCADA. Jest to jeden najbardziej rozpowszechnionych na świecie systemów informatycznych przemysłowej kontroli urządzeń, pracujący na platformie operacyjnej Microsoft Windows. Stuxnet wyszukiwał w nich moduł odpowiedzialny za komunikację i zarządzanie sterownikami PLC.

PLC (ang. Programmable Logic Controller) to programowalny sterownik logiczny; układ umożliwiający sterowanie dowolnym procesem poprzez jego odpowiednie oprogramowanie. Główną cechą PLC jest cykliczne wykonywanie takich zadań, jak autodiagnostyka, odczyt wejść, wykonanie programu, komunikacja i ustawienia wyjść.

Głównym celem ataku Stuxnetu były sterowane poprzez PLC wysokoobrotowe silniki elektryczne, takie, jakie są stosowane wirówkach gazowych używanych przy wzbogacaniu uranu do poziomu koncentracji wystarczającego do zastosowania w bombach atomowych.

Analitycy stwierdzili, że Stuxnet uderzał przede wszystkim w takie urządzenia, jak konwertery częstotliwości, sterujące silnikami elektrycznymi. Pobierają one prąd z sieci i zwiększają częstotliwość wyjściową do 600 Hz lub więcej. Jeśli robak znalazł taki konwerter pracujący w zakresie częstotliwości między 807 a 1120 Hz, wówczas zmieniał jego częstotliwość do 1410 Hz, po czym po 27 dniach zmniejszał ją do 2 Hz i jeszcze później podnosił nagle do 1064 Hz.

Eksperci systemów przemysłowych stwierdzili, że 807-1120 Hz to częstotliwość pracy konwerterów napędu wirówek gazowych używanych w procesie wzbogacania uranu. Działania Stuxnetu uszkadzały wysokoobrotowe rotory w motorach elektrycznych lub spowodowały zjawisko rozbiegania, czyli rozkręcenia ich obrotów do nieskończoności, co skutkowało zniszczeniem motoru, a w następstwie także wirówki. W ten sposób Stuxnet unieruchomił trwale 20 proc. z 5 tys. wirówek irańskiego programu nuklearnego. Nie wiadomo, ile wirówek uległo ponadto czasowemu uszkodzeniu, ale jak uważają analitycy militarni portalu Defense News, irański program nuklearny został opóźniony o co najmniej pół roku.

Według analityków z firmy Symantec znaczniki czasu znalezione w kodzie Stuxnetu wskazywały, że jego ostateczna kompilacja nastąpiła 12 godzin przez atakiem na systemy informatyczne irańskiego programu nuklearnego jesienią 2010 roku.

Flame zaś to złośliwy kod nowej generacji. Jest to bardzo wyrafinowany program, przeznaczony do rozpoznawania sieci, kradzieży danych i cyberszpiegostwa. Może dokonywać ekstrakcji danych z baz, aplikacji, sieci czy składowane lokalnie i przesyłać je na różne serwery. Posiada moduł Bluetooth, dzięki czemu może penetrować urządzenia mobilne, np. smartfony, notebooki lub tablety łączące się przez ten protokół z zaatakowaną siecią.

Do rozprzestrzeniania się malware wykorzystuje mechanizm uaktualniania automatycznego Microsoft Windows - Windows Update. Według analityków z Kaspersky Lab złośliwy kod wykorzystał lukę w mechanizmie urzędu certyfikacji (CA) usług terminalowych, co umożliwia mu generowanie certyfikatów kodu rzekomo podpisanych przez Microsoft.

wirus, technologie, flame
PAP
Czytaj także
Polecane galerie