Flame-nettiase – hämmästyttäviä ominaisuuksia
13
Valtiotason iskuksi uskottua Flame-hyökkäysohjelmaa on tutkittu muutaman viikon ajan. F-Securen tutkimusjohtaja Mikko Hyppönen kertoo, että Flame on paljastunut hämmästyttävän monimutkaiseksi. Ohjelma käyttää vakoiluun ja tietojen välitykseen lukuisia kekseliäitä ja kavalia keinoja, jotka ovat teknisesti alan huipputasoa.
Flame-haittaohjelma paljastui toukokuun lopulla. Ohjelman uskotaan olevan jonkin valtion – mahdollisesti Yhdysvaltojen – vakoiluhanke erityisesti Irania vastaan. Ohjelma on piileskellyt koneissa jo useiden vuosien ajan.
Mikko Hyppönen kertoo F-Securen blogiviestissä, että aluksi monet vähättelivät Flame-haittaohjelman monimutkaisuutta. Mielipiteet ovat kuitenkin muuttuneet kun ohjelman ominaisuuksia on paljastunut.
Hämmästyttäviä tiedonkeruun toimintoja
Hyppönen toteaa, että Flame varastaa tietoa näppäimistöltä, ruudulta ja monista erilaisista tiedostoista. Jotta dataa ei tulisi liikaa, siitä kerätään suodattimien avulla haluttua tietoa. Flame tekee tietokoneelle paikallisen SQLLite-tietokannan, johon tiedot tallennetaan. Sieltä tietoa lähetetään hyökkääjälle.
Flame osaa salakuunnella tietokoneen mikrofonia. Kuuntelu tallennetaan äänitiedostoksi ja lähetetään hyökkääjille.
Tietokoneesta ja verkosta etsitään myös valokuvia. Flame osaa ottaa niistä talteen gps-paikannustiedot, jotka lähetetään ohjelman tekijöille.
Flame tarkistaa, onko uhrikoneeseen yhdistetty matkapuhelimia bluetooth-yhteydellä. Jos on, puhelimen osoitekirja ladataan koneelle ja lähetetään hyökkääjille.
Tietoja pystytään välittämään takaisin hyökkääjille, vaikka uhrikone ei ole yhteydessä internetiin. Siinä tapauksessa Flame saastuttaa koneeseen kytkettyjä usb-muistitikkuja. Kun ne viedään toiseen koneeseen, jossa on nettiyhteys, haittaohjelma aktivoituu ja lähettää tiedot eteenpäin.
Monimutkainen leviämistapa
Hämmästyttävää on myös Flamen leviämistapa verkoissa. Haittaohjelma tekee oman välityspalvelimen, joka kaappaa Windows Update -päivitysjärjestelmän liikennettä lähiverkossa.
Windowsin tarkistusten ohi päästään väärennetyillä sertifikaateilla. Hyökkääjät keksivät kavalan tavan käyttää Microsoft Terminal Server -lisenssien sertifikaatteja.
Uudemmat Windowsit eivät mene tähän lankaan. Niinpä hyökkääjät kehittivät aivan uudenlaisen tavan tehdä monimutkaisia salaustekniikan hyökkäyksiä. Siihen tarvittiin huippuluokan salaustekniikan asiantuntijoita ("Flame-iskun tekijöissä oli huippuluokan tiedemiehiä"). Hyppösen mukaan työhön tarvittiin myös supertietokonetta.
