Ny spion-orm angriper Midtøsten

Sikkerhetsleverandørene analyserer nå en nylig oppdaget nettrussel, som Symantec beskriver som det «mest komplekse målrettede angrep siden Stuxnet og Duqu».

Symantec har døpt den Flamer, ettersom koden inneholder flere referanser til strengen FLAME.

Hovedsakelig angriper Flamer datasystemer i Midtøsten, viser Symantecs analyser. Ifølge de første geografiske peilingene er det mer konkret den palestinske Vestbredden, Ungarn, Iran og Libanon. Det er også oppdaget at Russland, Østerrike, Hong Kong og De forente arabiske emerater er mål.

Kaspersky Labs analyser, viser at Iran er verst rammet, Israel/Palestina nest mest, dernest Sudan, Syria, Libanon, Saudi-Arabia og Egypt.

Ifølge den Iranske datakrise-responsenheten, MAHER, kan Flamer være ansvarlig for nylige datatapshendelser i Iran. MAHER påstår videre det finnes grunner til å tro at Flamer har relasjon til Stuxnet og Duqu som spiontrusler.

Koden er i likhet med Stuxnet og Duqu ikke skrevet av en enkeltperson, men av en organisert gruppe med både penger og instruksene på rette plassen, ifølge Symantec. Angrepskoden har virket i det skjulte i minst to år, skriver de en oppsummering.

Stor i størrelsen

En annen sikkerhetsleverandør, Kaspersky Lab ser at selv om Flamer ligner Stuxnet og Duqu i geografisk nedslagsfelt, har den andre funksjoner, og er - på mange måter - mer komplekse enn både Duqu og Stuxnet, ifølge Computerworlds nyhetstjeneste.

Selv kaller de den Flame, altså uten r på slutten, og mener ormen kom i sin førsteutgave i 2010.

Flamer kan ifølge Symantec stjele dokumenter, ta skjermbilder av brukerens skrivebord og deaktivere produkter fra sikkerhetsleverandørene. Det rapporteres om at Flamer kan ta opp lyd via mikrofon og sende opptaket til angriperne.

Flamer kan spre seg via minnepinne eller via nettverk ved å utnytte en rekke kjente og oppdaterte sårbarheter i Windows. Den kan fjernstyres av opphavsmennene til å spre seg, men kan også instrueres til å slette seg selv uten å etterlate spor, skriver Symantec i sin pressemelding.

Kaspersky ser videre at det modulbaserte udyret kan sniffe nettverkstrafikk og kommunisere med blåtannenheter i nærheten. Verdt å merke seg, er at det at Flamer er mye større enn Duqu og Stuxnet, som var på en halv megabyte.

En halv megabyte mener sikkerhetsforskerne i utgangspunktet er mye, så da levner det liten tvil rundt hva de mener om Flames størrelse på 20 megabyte. En av filene er 6 megabyte i seg selv.

Av annet teknisk kuriosa, er deler av Flamer skrevet i programmeringsspråket LUA, som snarere typisk er valget til spillutviklere heller enn blant dem som skriver ondsinnet kode.

- Mest komplekse?

Ifølge Symantec er det foreløpig uklart hvilke økonomiske sektorer eller tilhørighet enkeltpersonene angrepet er rettet mot. Det de har sett så langt, er at mange tilsynelatende er angrepet basert på personlig aktivitet heller enn hvilken organisasjon de jobber i.

Angrep har rammet både myndigheter, utdanningsinstitusjoner, kommersielle selskapet - og i tillegg ser det ut som mange av de angrepne datamaskinene er private maskiner koblet til internett hjemmefra.

Engelsk tekst funnet i koden antyder at Flamer ble utviklet av en med engelsk som førstespråk, tilføyer Symantec overfor Computerworlds nyhetstjeneste.

Forskere ved Laboratory og Cryptography and System Security i Budapests University of Technology and Economics, som spilte en viktig rolle I oppdagelsen av Duqu, har også kommet med sin rapport på Flamer - som de har kalt Skywiper.

- Resultatet av vår tekniske analyse støtter hypotesen om at Skywiper ble utviklet av en statlig organisasjon tilhørende en nasjon med signifikant budsjett og innsats, og det kan være relatert til nettkrigsaktiviteter, skriver de.

- Skywiper er helt klart det mest sofistikerte ondisnnede programmet vi har kommet over i vår praksis; det kan diskuteres om det er det mest komplekse ondsinnede programmet noensinne funnet.