EDITING BOARD
RO
EN
×
▼ BROWSE ISSUES ▼
Issue 4

Flame arma cibernetică dezmembrată

Andrei Avădănei
Fondator si CEO DefCamp CEO worldit.info
PROGRAMMING

Războiul cibernetic - termenul care face înconjorul Internetului și care pătrunde prin toate colțurile lumii moderne. Atitudinea presei este înțeleasă pentru că domeniul IT generează tot atât de multe fețe mulțumite cat și fețe speriate, iar domeniul INFOSEC este de departe un domeniu fascinant, plin de surprize. În ultimii ani descoperirea aplicațiilor Stuxnet și Duqu - două dintre cele mai periculoase aplicații malware targetate, dezvoltate în întreagă istorie a planetei - dar și atacurile realizate de hacktiviști sau de gruparea descentralizată Anonymous asupra serviciilor guvernamentale, au adus în discuție tot mai des amenințarea războiului cibernetic. Multe state ale planetei se conformează și iau măsuri în această direcție.

De la Stuxnet la Flame

img6_1.jpg

Deși Stuxnet reprezintă un șablon, un pioner în războiul cibernetic, ultimele luni ale acestui an au fost zbuciumate de o nouă descoperire, o aplicație malware mult mai complexă decât a putut fi vreodată Stuxnet. Kaspersky Lab, MAHER Center of Iranian Național Computer Emergency Response Team (CERT) și CrySyS Lab of the Budapest University of Technology and Economics au anunțat pe 28 mai 2012 descoperirea malware-ului modular Flame, cunoscut și ca Flamer sKyWIper/Skywiper. Ultimii dintre cei care au contribuit la descoperire au menționat că sKyWIper (Flame) este de departe cel mai sofisticat malware întâlnit de ei până acum și cu siguranță cel mai complex descoperit în istorie.

Flame se poate răspândi pe alte sisteme prin intermediul rețelelor locale (LAN) sau prin stick-uri USB. Programul periculos, identificat de produsele Kaspersky Lab cu numele Worm.Win32.Flame, a fost creat pentru spionaj cibernetic și are capacitatea de a fura date confidențiale, de a face capturi de ecran, a strânge informații despre sistemele atacate, fișierele stocate, traficul din rețea, datele de contact și poate înregistra chiar conversații audio, dacă acel computer are atașat un microfon (inclusiv de la camera web) sau tastele apăsate. Datele sunt trimise pe unul din serverele CC (Comandă & Control) ce sunt răspândite pe întreg globul așteptând apoi noi comenzi.

Conform primelor estimări din mai 2012, Flame a infectat inițial aproximativ 1,000 de computere, majoritatea dintre acestea fiind ale unor organizații guvernamentale, instituții educaționale și persoane individuale. În acel moment, majoritatea țintelor proveneau din Iran, Israel, Sudan, Syria, Lebanon, Arabia Saudita și Egipt, ajungându-se mai târziu la concluzia că Iran a fost ținta vizată. Flame a avut și o comandă "kill" care poate opri serviciile Flame și șterge orice urme ale existenței acestuia. La scurt timp după ce presa a publicat primele informații despre Flame, comanda "kill" a fost trimisă pe întreaga rețea Flame, iar virusul a dispărut de pe calculatoarele victimelor.

Cercetările preliminare indică faptul că acest malware există "in the wild" (fără să fi fost detectat până acum) de mai bine de doi ani, adică din luna martie 2010. Din cauza nivelului extrem de complex, dar și a naturii direcționate a atacurilor (nu atacă decât anumite ținte), niciun software antivirus nu a reușit să-l identifice.

Cei de la Kaspersky spun pe blogul oficial al companiei că acest vierme informatic este cu totul deosebit fiindcă nu e gândit să fure bani din conturi și este cu totul diferit fată de atacurile așa-numiților "hacktivisti". Mai rămâne o singură variantă, cea cum că ar fi inițiat de o națiune care a sponsorizat dezvoltarea Flame și răspândirea lui. În sprijinul acestui argument stă atât faptul că atacul este desosebit de complex dar și extrem de bine țintit (cele mai multe ținte vizate sunt din Orientul Mijlociu).

Cu toate că funcționalitățile lui Flame diferă de cele ale deja celebrelor arme cibernetice Duqu și Stuxnet, geografia atacurilor, exploatarea anumitor vulnerabilități software și faptul că doar anumite computere sunt vizate de atacuri îl plasează în aceeași categorie a super-armelor cibernetice.

"De câțiva ani buni, riscul izbucnirii unui război cibernetic este subiectul cel mai fierbinte al securității informatice", spune Evegheni Kaspersky, CEO și co-fondator Kaspersky Lab. "Stuxnet și Duqu făceau parte dintr-un singur lanț de atac, care a ridicat mari semne de întrebare în întreaga lume. Flame reprezintă o nouă etapă în acest război și este deosebit de important să înțelegem că astfel de arme cibernetice pot fi utilizate cu ușurință împotriva oricărui stat. Însă, această situație este diferită de cea a unui război tradițional, deoarece statele cele mai dezvoltate sunt, de fapt, cele mai vulnerabile în cazul unui conflict informatic", completează Kaspersky.

Legătura dintre Flame și Stuxnet

Toată lumea a simțit că modul în care lucrează Flame și Stuxnet seamănă de la distanță dar BitDefender a reușit să demonstreze acest lucru. Una dintre cele mai evidente asemănări este algoritmul de decriptare pentru string-uri. Acest lucru este vizibil în componente precum atmpsvcn.ocx, s7otbxdx.dll sau mssecmgr.ocx.

Spre exemplu, în cazul atmpsvcn.ocx și s7otbxdx.dll (DLL pentru proxy SCADĂ de la Siemens), algoritmul arată astfel:

 

for (i=0; i < strlen(s); i++)

{

sum = (0xB + s[i]) * (0x11 + s[i]);

s[i] -= (sum >> 0x18) ^ (sum >> 0x10) ^ (sum >> 0x8) ^ sum;

}

În principala componentă Flame (mssecmgr.ocx) algoritmul araăa astfel:

 

for (i=0; i < strlen(s); i++)

{

sum = (0xB + s[i]) * (0x17 + s[i]);

s[i] -= (sum >> 0x18) ^ (sum >> 0x10) ^ (sum >> 0x8) ^ sum;

}

 

img6_2.jpg

Singura diferență este constanta folosită. Astfel, putem spune cu certitudine că Stuxnet și Flame au cel puțin o componentă comună : atmpsvcn.ocx. Totuși, dacă se intră mai în detaliu în anatomia acestei biblioteci, se pot află mai multe. Un articol detaliat pe această tema scris de reprezentanții BitDefender puteți citi aici: http://labs.bitdefender.com/2012/06/stuxnets-oldest-component-solves-the-flamer-puzzle/

Cum se răspândește Flame?

Modulul principal din structura Flame este un fișier de tip DLL, pe nume MSSECMGR.OCX. În momentul in care se activează, acesta se înregistrează in lista de registri Windows, iar la următorul restart al computerului este încărcat automat de către sistemul de operare. Apoi, MSSECMGR începe sa descărce module adiționale precum Beetlejuice, Microbe, Euphoria, Limbo etc, lista completă fiind aici. Dintre toate acestea modulul Gadget se ocupă de răspândirea Flame.

În timpul analizei, cei de la Kaspersky au fost surprinși să afle că stații cu sisteme de operare Microsoft Windows 7, cu toate actualizările la zi, erau infectate cu Flame. Cum era posibil acest lucru? Ei bine, este posibil doar dacă există o vulnerabilitate 0-day in Windows. Pe lângă asta, modulul Gadget are un rol crucial in răspândirea malware-ului în rețea, ajutându-se de un alt modul, numit Munch.

Gadget si Munch lansează un atac de tip man-in-the-middle împotriva celorlalte computere din rețea. Mai exact, in momentul in care un computer încearcă să se conecteze la site-ul oficial Microsoft Windows Update, conexiunea este redirecționată prin intermediul unei mașini infectate și trimite computerului un Update de Windows fals. Falsa actualizare pretinde că se numește Desktop Gadget Platform și ajută la afișarea gadget-urilor pe desktop. Folosind un certificat fals al Microsoft, Flame se instalează în sistem. Pentru mai multe detalii tehnice, intrați aici: http://www.securelist.com/en/blog/208193558/Gadget_in_the_middle_Flame_malware_spreading_vector_identified

Detalii despre serverele de Comandă & Control ale lui Flame

Având in vedere faptul că geografia atacurilor inițiate de Flame este similară cu cea a lui Duqu, Kaspersky a făcut o comparație a serverelor de Comandă & Control. În cazul Duqu, numărul domeniilor serverelor nu era cunoscut, dar pentru Flame am aflat că acesta depășește cifra de 80. În momentul în care un computer este infectat cu Flame, acesta se conectează în mod implicit la cinci servere C&C, numărul acestora crescând apoi la zece.

Fiecare domeniu era înregistrat cu identități false, prin intermediul GoDaddy. De asemenea, adresele folosite erau fie false, fie aparțineau unor hoteluri, cea mai veche înregistrare datând din 2008. Printre numele false se numărau Adrien Leroy, Arthur Vangen, George Wirtz, Gerard Caraty, Ivan Blix, Jerard Ree, Karel Schmid, Maria Weber, Mark Ploder, Mike Bassett, Paolo Calzaretta, Robert Fabous, Robert Wagmann, Romel Bottem, Ronald Dinter, Soma Mukhopadhyay, Stephane Borrail, Traian Lucescu, Werner Goetz or Will Ripmann. Majoritatea serverelor CC aveau ca sistem de operare Windows 7 sau Windows XP. Conform studiilor realizate de Kaspersky, aceștia au observat că Flame are un mecanism de auto-upgrade. Spre exemplu, versiunea 2.212 a devenit 2.242 în două dintre situații. Asta sugerează existența a cel puțin un server de C&C care are un alt nivel de control.

Fișierele încărcate către serverul de C&C este criptat folosind un cifru XOR, cuplat cu o substituție. Pe lângă asta, multe blocuri sunt compresate folosind zlib și ppdm. Toate datele sunt transmise prin pachete de 8192 de bytes, confirmând încă o dată interesele pentru țările din Orientul Mijlociu ce au conexiune la Internet slabă și instabilă. Mai multe detalii aici: http://www.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers.

De ce a rezistat Flame nedetectat cel puțin cinci ani?

 

Echipa de analiști de la Bitdefender a făcut cercetări și pe un modul mai puțin mediatizat al aplicației malware Flame denumit advnetcfg.ocx - modul care se ocupă cu monitorizarea anitivirusilor dar care este și o componentă de debugging. Modulul a fost etichetat ca fiind componenta ce se ocupă cu adunarea informațiilor despre Flame pentru a îmbunătăți calitatea și funcționalitatea aplicației. Oricând Flame descoperă vreun ecran ce conține informații cu privire la fișierele aplicației malware, sau conține cuvinte cheie precum "injected" sau "File mssecmgr.exe looks suspicious", modulul de debugging realizează o captură de ecran iar aceasta este trimisă către serverul de C&C unde este analizată de echipa de programatori din spatele Flame. Subiectul a fost tratat în detaliu pe blogul laboratorului Bitdefender http://labs.bitdefender.com/2012/07/flamer-used-qa-module-to-thwart-antivirus/.

Distracția continuă…

După scandalul virusului Flame, încă un virus "politic" a fost descoperit de firmele de securitate IT în Orientul Mijlociu. Virusul Madi sau Mahdi, folosit pentru obținerea de informații secrete, a fost depistat în Iran, Israel și Afganistan pe 17 iulie 2012. Peste 800 de PC-uri ale agențiilor guvernamentale, ale instituțiilor financiare și companiilor de infrastructura au fost infectate de virusul Madi, susțin experții Kaspersky Lab și Seculert.

img6_3.jpg

Virusul Madi sau Mahdi, ce este echivalent cu "Mesia" în Israel, are ca scop obținerea de informații secrete, de la emailuri și parole până la transferul de fișiere.

Troianul Madi permite infractorilor cibernetici să fure informații confidențiale de pe computerele cu sisteme de operare Microsoft Windows, să monitorizeze comunicarea prin email și programele de mesagerie instant, să înregistreze audio și intrările de la tastatură, precum și să realizeze capturi de ecran. Analiza confirmă faptul că mai mulți gigabytes de informație au ajuns pe serverele infractorilor.

Printre aplicațiile și paginile web spionate se numără conturile de Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ și Facebook ale victimelor. Supravegherea era condusă și prin intermediul sistemelor ERP/CRM integrate, a contractelor de business și sistemelor de administrare financiară. Nouă amenințare malware a fost detectată mult mai ușor și are un cod mult mai puțin complex decât virusul Flame, considerat cel mai sofisticat din istoria tehnologiei informatice. Mai multe detalii pe http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I.

În loc de încheiere

Flame se remarcă prin complexitate și prin numeroasele opțiuni de care dispune, întreg codul aplicației malware însumând peste 20MB. Asta îl face de departe una din cele mai non-conformiste unelte folosite în războiul cibernetic. România, alături de alte state din această zonă geografică au fost luate în calcul că având materia cenușie necesară pentru a construi o astfel de aplicație. În realitate, tot ce înseamnă războiul cibernetic până în acest moment se bazează pe noroc și ipoteze, nimic nu este concret, nimic nu este dovedit cu privire la scopurile acestor servicii. La nivel mondial, există jucători care știu ce fac mai bine decât avem impresia iar la ei termeni precum anonimitatea sau inflitrarea în instituții (non)guvernamentale au sens și reprezintă o chestie de timp și resurse, nu de tehnologie. Dacă în ultimii 3 ani, Stuxnet, Duqu și Flame au reușit să demonstreze că mediul online mai are de lucru, trebuie să luăm în calcul ce alte mutații ale acestora există sau se construiesc chiar în aceste clipe. E posibil ca acesta să fie începutul celui de-al treilea Război Mondial, doar că de aceasta dată va fi un război rece, tehnologizat, care va începe prin distrugerea economiei și prin controlul informațional dar nu putem ști unde și cum se va opri. Partea frumoasă a acestui război e că aici toate statele lumii moderne se pot confrunta de la egal la egal și nu putem veni cu ipoteze asupra celor care se duelează sau asupra celor care vor câștiga pentru că nu știm ce surprize ascunde fiecare stat preocupat de securitatea informațională. O altă caracteristică a acestui război e viteza cu care se va derula - ne putem aștepta la un război mascat, ascuns și pe termen lung sau ne putem confrunta cu un război foarte rapid și dur, cu impact pe termen lung. În aceste momente, nu putem face altceva decât să ne găsim locul pe tabla de șah și să ne îmbunătățim poziția. Stay safe, stay tuned!

Bibliografie

http://en.wikipedia.org/wiki/Flame_(malware)

http://labs.bitdefender.com/2012/06/stuxnets-oldest-component-solves-the-flamer-puzzle/

http://labs.bitdefender.com/2012/06/flame-the-story-of-leaked-data-carried-by-human-vector/

http://labs.bitdefender.com/2012/07/flamer-used-qa-module-to-thwart-antivirus/

http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

http://www.kaspersky.ro/blog/flame_%E2%80%93_cel_mai_complex_%C5%9Fi_interesant_malware_pe_care_lam_v%C4%83zut_p%C3%A2n%C4%83_acum

http://economie.hotnews.ro/stiri-it-12374275-flame-vierme-informatic-complexitate-fara-precedent-ataca-tinte-din-orientul-mijlociu-spun-cei-kaspersky-lab.htm

 

Sponsors

  • comply advantage
  • ntt data
  • 3PillarGlobal
  • Betfair
  • Telenav
  • Accenture
  • Siemens
  • Bosch
  • FlowTraders
  • MHP
  • Connatix
  • UIPatj
  • MetroSystems
  • Globant
  • Colors in projects