“Flame”, het bewijs dat computervirussen steeds slimmer worden
Uitgegeven: juni 2012
Sinds Maart 2010 is de extreem complexe aanvallende malware actief met de naam ‘Flame’. Vanwege zijn ingewikkelde vorm heeft nog geen enkele beveiligingsoplossing het computervirus gedetecteerd. De malware is ontdekt door Kaspersky Lab experts tijdens een onderzoek voor ITU (International Telecommunication Union).
De ‘meesterspion’ Flame kan behalve gegevens stelen ook computers bedienen en zo microfoons aanzetten en cameraatjes inschakelen. Flame voert aanvallen uit die gericht lijken te zijn op landen en zou op dit moment binnengedrongen zijn in computersystemen in Iran, Egypte, Israël, de Palestijnse gebieden, Libanon, Saudi-Arabië, Sudan en Syrië.
De kenmerken van ‘Flame’, het gebruik van specifieke kwetsbaareden in software en het feit dat alleen geselecteerde computers worden aangevallen, maken dat deze cyberdreiging behoort tot de categorie “super cyberwapens”. Volgens virusbestrijder Kaspersky is Flame 20 keer zo groot en ingewikkeld als Stuxnet. Die worm, die in 2010 werd ontdekt, voerde aanvallen uit op computersystemen van Iraanse nucleaire projecten. De code van Flame zou deels overeenkomen met het virus dat in april het Iraanse ministerie van Olie aanviel. Flame betekent daarom een nieuwe fase in de cyberoorlog, aldus Kaspersky.
Voor de liefhebber enkele technische achtergronden:
Met name de combinatie van diverse aanvalstechnieken en de grootte van het bestand (20MB) maken dit computer virus uniek:
1. Vermomming als Microsoft software: Door gebruik te maken van een nep certificaat herkend microsoft de code als ‘echt van microsoft” Alleen computers met het microsoft besturingssysteem zijn dus kwetsbaar.
2. Herkenning van de antivirus software: Het virus herkend de aanwezige antivirussoftware. Afhankelijk van het aanwezige pakket worden andere aanvalsmethoden toegepast.
3. Een database: Het virus heeft een complete SQlite database aan boord met gegevens over hoe de beste vervolgaanval kan worden opgezet.
4. De meeste virussen gebruiken één methode voor verspreiding,. Flame doet zich voor als Microsoft update, en kan zowel via het netwerk (LAN) als via USB stick verspreiden.
5. Het computer register wordt slim gemanipuleerd, zodat bijvoorbeeld een nep audit driver kan worden geïnstalleerd wat de microfoon (en bijvoorbeeld de speaker) van een computer over kan nemen.
6. Het virus is goed beveiligd en gebruikt maar liefst 5 verschillende encryptiemethodes om zichzelf te verbergen. Zelf kan het als rootkit op een systeem komen waardoor het volledig buiten het OS (en dus onzichtbaar) aanwezig is op een computer.
7. Een centraal regelnetwerk ontvangt alle informatie van de besmette computers. Dit zijn niet alleen toetsaanslagen (dus alle wachtwoorden), maar ook audio (afluisteren), informatie over aanwezige bluetooth apparatuur, zelfs het netwerkverkeer op de locatie van het besmette systeem kan worden opgevangen en doorgestuurd. Het lijkt er vooralsnog op dat de software als hoofddoel spionage heeft. Er zijn aanwijzingen dat Fame vooral op zoek is naar AutoCAD, pdf en text files….
Bronvermelding: Artikel Wikipedia
Artikel Volkskrant
Neem voor meer informatie contact op met BSM.