Kompanija Kaspersky Lab danas je objavila otkriće malog i veoma fleksibilnog zlonamernog programa miniFlame koji je dizajniran da ukrade podatke i kontroliše zaražene sisteme tokom ciljanih napada sajber špijunaže.
Zlonamerni program miniFlame, takođe poznat kao SPE, pronašli su stručnjaci kompanije Kaspersky Lab u julu 2012. godine, i prvobitno ga identifikovali kao modul virusa Flame. Međutim, u septembru 2012. godine istraživački tim kompanije Kaspersky Lab uradio je detaljnu analizu servera komande i kontrole (C&C) virusa Flame i na osnovu analize utvrdili su da je virus miniFlame zapravo interoperabilni alat koji može biti korišćen kao nezavisni zlonamerni program, ili istovremeno kao „plug-in“ (pomoćni program koji ubrzava rad glavnog programa) uz zlonamerne programe Flame i Gaus.
Rezultati analize virusa miniFlame pokazali su da je između 2010. i 2011. godine kreirano nekoliko verzija virusa, a neke od njih su i dalje aktivne. Analiza je takođe otkrila nove dokaze o saradnji između kreatora virusa Flame i Gauss, jer oba ova zlonamerna programa mogu da koriste miniFlame kao „plug-in“ u svom radu.
Glavna otkrića:
- Virus miniFlame, takođe poznat kao SPE, zasnovan je na istoj arhitektonskoj platformi kao i virus Flame. Može da radi kao samostalan program za sajber špijunažu ili kao komponenta unutar virusa Flame i Gaus.
- Kao alat za sajber špijunažu radi kao backdoor program, kreiran za krađu podataka i direktan pristup zaraženim sistemima.
- Moguće je da je razvoj virusa miniFlame počeo već 2007. godine i trajao je do kraja 2011. godine. Pretpostavlja se da su stvorene mnoge varijante. Kompanija Kaspersky Lab je do danas identifikovala šest njegovih varijanti, koje pokrivaju dve velike generacije: 4.x i 5.x.
- Za razliku od virusa Flame i Gaus, koji su zarazili veliki broj računara, kod virusa miniFlame taj broj je mnogo manji. Prema podacima kompanije Kaspersky Lab, broj zaraženih uređaja je između 10-20. Ukupan broj zaraženih uređaja u svetu procenjen je na 50-60.
- Mali broj infekcija u kombinaciji sa osobinom da krade podatke i ima fleksibilni dizajn, ukazuje da je virus miniFlame korišćen za izuzetno ciljane napade sajber špijunaže, a najverovatnije je korišćen unutar uređaja koji su već bili zaraženi virusima Flame ili Gaus.
Proces otkrića
Virus miniFlame otkriven je tokom detaljne analize zlonamernih programa Flame i Gaus. U julu 2012. godine stručnjaci kompanije Kaspersky Lab identifikovali su dodatni modul virusa Gaus, pod kodnim nazivom „John“ i pronašli su povezanost sa istim modulom virusa Flame. Naknadna analiza servera komande i kontrole virusa Flame, urađena u septembru 2012, pomogla je da bude utvrđeno da je
novootkriveni modul, u stvari, poseban zlonamerni program, mada može biti korišćen i kao „plug- in“ uz viruse Gaus i Flame. Virus miniFlame nazvan je SPE u kodu originalnog servera komande i kontrole (C&C) virusa Flame.
Kompanija Kaspersky Lab otkrila je šest različitih varijanti virusa miniFlame, i sve su nastale tokom 2010. i 2011. godine. Istovremeno, analiza virusa miniFlame pokazala je da je razvoj ovog zlonamernog programa započet čak i ranije – ali ne pre 2007. godine. Sposobnost virusa miniFlame da bude korišćen kao plug-in uz viruse Flame ili Gaus, jasno pokazuje saradnju između timova koji su razvili viruse Flame i Gauss. Kako je veza između virusa Flame i Stuxnet/ Duqu već otkrivena, može biti zaključeno da sve ove napredne pretnje dolaze iz iste „fabrike za sajber oružje“.
Funkcionalnost
Originalni prenosnik infekcija u okviru virusa miniFlame tek treba da bude utvrđen. S obzirom na to da je potvrđena povezanost između virusa miniFlame, Flame i Gaus, virus miniFlame može se instalirati na računare koje su već zarazili virusi Flame ili Gaus. Kada se instalira, virus miniFlame radi kao backdoor program i omogućava operaterima zlonamernih programa da dobiju bilo koji dokument iz zaraženog uređaja. Dodatne mogućnosti za krađu informacija uključuju pravljenje snimaka ekrana zaraženog računara, dok je pokrenut neki poseban program ili aplikacija, kao što su veb pretraživač, Microsoft Office program, Adobe Reader, instant messenger service, ili FTP klijent. Virus miniFlame preuzima ukradene podatke tako što se povezuje na svoj C&C server (koji može biti samostalan, ili ga „deli“ sa C&C serverom virusa Flame). Posebno, na zahtev operatora C&C servera virusa miniFlame, dodatni modul za krađu podataka može biti poslat na zaraženi sistem, koji dalje inficira USB memorije i koristi ih za skladištenje podataka koji se prikupljaju iz zaraženih uređaja i to bez povezivanja na internet.
Aleksandar Gostev, glavni ekspert za bezbednost kompanije Kaspersky Lab, rekao je: „Virus miniFlame je alat za veoma precizne napade. To je najverovatnije ciljano sajber oružje koje je korišćeno za ono što može biti nazvano – drugi talas sajber napada. Prvo, virusi Flame i Gaus
korišćeni su da bilo zaraženo što više žrtava, kako bi bile prikupljene velike količine informacija. Nakon što su podaci prikupljeni i pregledani, identifikovali su potencijalno zanimljive žrtve i instalirali virus miniFlame kako bi sproveli detaljniji nadzor i sajber špijunažu. Otkrivanjem virusa miniFlame,
takođe smo dobili i dodatne dokaze o saradnji između kreatora najznačajnijih zlonamernih programa koji su korišćeni za sajber napade: Stuxnet, Duqu, Flame i Gauss.“
Kompanija Kaspersky Lab zahvaljuje se odeljenju CERT-Bund/BSI na njihovoj ljubaznoj pomoći u ovoj istrazi.
Dodatne informcije o virusu miniFlame možete naći na blogu veb sajta Securelist.com: http://www.securelist.com/en/
Kompletan izveštaj o virusu miniFlame možete pročitati na sledećem linku:
http://www.securelist.com/en/
O kompaniji Kaspersky Lab
Kaspersky Lab je najveća kompanija koja se bavi proizvodnjom antivirus programa. Kompanija je rangirana među četiri najbolja svetska proizvođača bezbedonosnih rešenja za krajnje korisnike. *. Tokom svoje petnaestogodišnje istorije kompanija Kaspersky Lab je ostala inovator u oblasti IT bezbednosti i pruža efektivna digitalna bezbednosna rešenja za potrošače, mala i srednja preduzeća. Kompanija trenutno posluje u skoro 200 zemalja i teritorija širom sveta, pružajući zaštitu za više od 300 miliona korisnika širom sveta. Saznajte više na veb sajtu: www.kaspersky.com.
*Kompanija je ocenjena četvrta u svetu prema oceni kompanije IDC, za prihod od bezbednosnih rešenja za krajnje korisnike, u 2010. godini. Ocena je objavljena u izveštaju kompanije IDC, Worldwide IT Security Products 2011-2015 Forecast i izveštaju 2010 Vendor Shares – u decembru 2011. godine. Izveštaj rangira prodavce softvera prema zaradi od prodaje bezbednosnih rešenja krajnjim korisnicima u 2010. godini.