Flamer: Mest komplekse målrettede angrep siden Stuxnet og Duqu

På linje med Stuxnet og Duqu, Symantecs Security Response-team analyserer nå en ny og svært sofistikert og diskret trussel: W32.Flamer.

Foto: Arne Røed Simonsen

Så langt har analysene avslørt at den ondsinnete koden er konstruert for å hente ut informasjon fra infiserte datasystemer som hovedsakelig befinner seg i Midt-Østen. Som med de to før nevnte truslene, er heller ikke denne programkoden skrevet av en enkeltperson, men av en organisert og godt finansiert gruppe med instrukser. Koden inneholder flere referanser til strengen «FLAME», noe som enten kan tyde på ulike angrepstilfeller utføret av ulike deler av programkoden, eller være prosjektnavnet utviklingen av selve trusselen.

Angrepskoden, som har virket i det skjulte i minst to år, kan blant annet stjele dokumenter, ta skjermbilder av brukernes skrivebord, spre seg via USB-minne, deaktivere produkter fra sikkerhetsleverandører og i visse tilfelle spre seg til andre systemer. Det rapporteres også at den kan ta opp lyd via PC-ens mikrofon og sende opptaket tilbake til angriperne. Trusselen kan også ha evnen til å utnytte en rekke kjente og oppdaterte sårbarheter i Microsoft Windows for å spre seg via et nettverk.

Den nye trusselen kan fjernstyres av opphavsmennene til å spre seg, og kan også instrueres til å slette seg fra infiserte maskiner uten å etterlate seg spor.

De første geografiske peilingene tyder på det aktuelle angrepet hovedsakelig retter seg mot mål som befinner seg på den palestinske Vestbredden, Ungarn, Iran og Libanon. Andre mål er Russland, Østerrike, Hong Kong og De forente arabiske emirater. Hvilke økonomiske sektorer eller tilhørigheten til enkeltpersoner angrepet er rettet mot er foreløpig uklart. Mange er tilsynelatende angrepet basert på personlig aktivitet snarere enn hvilken organisasjon de er ansatt i. Det er interessant at i tillegg til at angrepet retter seg mot visse organisasjoner, synes mange av de angrepne datamaskinene å være private maskiner koblet på internett hjemmefra.

Symantecs nylig publiserte trusselrapport Internet Security Threat Report 17, viste en dramatisk økning i antall målrettede nettangrep i løpet av 2011, fra 77 angrep per dag i gjennomsnitt i 2010 til 82 per dag i 2011. Rapporten spådde også at antall målrettede angrep og APT-angrep (Advanced, Persistent Threat: nettangrep som holder meget lav profil for å unngå deteksjon) ville øke.

Analyse og undersøkelse av de ulike komponentene pågår for fullt, og med teknisk informasjon og informasjon om angrepene vil bli publisert fortløpende.

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss