Kyberválka? Virus Flame napadl Írán a další země

Flame je nový pojem v kybernetické válce. Nejvíce sofistikovaný malware současnosti napadl země jako Írán, Libanon nebo Palestina. Údajně za ním stojí některá z vlád.

Connect.cz z Berlína: Počítače v Íránu, Palestině, Súdánu, Egyptě, Sýrii a Saudské Arábii napadl malware, který svojí komplexitou nemá obdoby. Podle mnohých vyjádření a náznaků byl škodlivý kód tajně sponzorován některou z vlád, která tak díky kybernetické špionáži mohla získávat citlivá data, a navazuje na své předchůdce jako Stuxnet a DuQu.

Nalezený malware je označován jménem Flame (Worm.Win32.Flame) a jeho hlavním úkolem je sbírat data všemi dostupnými způsoby. Kromě klasického dolování údajů na lokálních pevných discích v počítačích zvládá i mnoho pokročilejších úkolů – například zapnout mikrofon a nahrávat komunikaci přes Skype nebo zvuky z blízkého okolí počítače. Zároveň se může pomocí bluetooth připojovat k dalším zařízení v dosahu a získávat informace třeba z mobilních telefonů. Umí v pravidelných intervalech snímat obrazovku a monitorovat údery na klávesnici.

Flame má tu vlastnost, že je možné ho na dálku smazat a uživatel pak zpětně nepozná, že se jeho stroj stal cílem útoku a sloužil ke sbírání citlivých informací. Kód se přitom nespouští automaticky hned po infiltraci do počítače, ale může „vyčkávat“ na vzdálené povely. Podle aktuálních dostupných údajů byl Flame aktivní od roku 2010, na počítačích už ale mohl být usídlený mnohem déle.

Neobvykle účinný, neobvykle veliký

„Je to jeden z nejvíce sofistikovaných útoků v historii,“ řekl v Berlíně v rozhovoru pro Connect.cz výkonný šéf izraelské bezpečnostní společnosti Check Point Gil Shwed. „Flame dokázal skvěle skloubit několik známých technologií do jednoho funkčního balíčku.“ Škodlivý program se skládá ze základního jádra, pomocí něhož je možné na dálku doinstalovat další moduly. Pokud se tak stane, Flame nabobtná až do velikosti 20 megabajtů. Stuxnet přitom měl pouze pár stovek kilobajtů.

Klepněte pro větší obrázek
První analýza strojů, které Flame zasáhl. Objevovat se už začínají také lokality v Evropě a Hongkongu.

Vzhledem k velikosti bude velice složité celou aplikaci i s moduly analyzovat. Podrobný rozbor mnohonásobně menšího Stuxnetu zabral více než půl roku a bezpečnostní odborníci se už dnes shodují, že analýza Flame může trvat i několik let.

Odborníci a veřejnost se nicméně v současné době ptají, proč Flame zasáhl především stovky strojů na Středním východě a v části severní Afriky. „Oblast nákazy škodlivým kódem a jeho komplexita nenechávají pochyby o tom, že vývoj byl sponzorován některou z vlád,“ píše ve svém prohlášení ruská společnost Kaspersky Lab, která na Flame upozornila. Tuto domněnku potvrzují také někteří další výzkumníci. „Výsledky našeho technického rozboru podporují hypotézu, že tento program byl vyvinutý ve spolupráci státních orgánů,“ tvrdí ve zprávě maďarská laboratoř CrySyS.

Cílem kybernetické špionáže měl být především íránský jaderný program, jenž se podařilo zpomalit díky již zmiňovaným kódům Stuxnetu a DuQu. Mezi největší kandidáty na „sponzory“ Flame patří Spojené státy a Izrael, kterým Teherán a jeho aktivity vadí nejvíce a kteří stáli i za zmiňovanými předchůdci nového objevu. Napadány měly být také instituce spojené s ropným průmyslem.

Kybernetická válka

Jasné důkazy chybí, místopředseda izraelské vlády Moše Jálon však vydal prohlášení, ve kterém říká, že kdokoliv se cítí být ohrožen Íránem, je oprávněn ho zastavit jakýmikoliv prostředky, včetně kybernetických nástrojů. Izrael i Amerika jsou navíc země s nejvyspělejším vývojem v oblasti informačních technologií.

Klepněte pro větší obrázek
Do případných aktivit evropské unie se rádi zapojíme. Prezident izraelské společnosti Check Point Amnon Bar-Lev.

„Nevíme, kdo Flame napsal,“ říká v rozhovoru Gil Shwed z Check Pointu, který stejně jako mnoho jeho kolegů dříve působil v izraelské armádě. „Nemyslím si, že by to byl Mosad, ale to nevíme. Možná je to vláda, možná ne.“ Stejně jako jiní odborníci z branže nicméně poukazuje na to, že vývoj takového sofistikovaného škodlivého kódu musel být finančně hodně náročný.

Do analýzy Flame už se pouští několik bezpečnostních společností. I když je největší ohnisko výskytu zejména v muslimských zemích, začínají se objevovat také první nakažení z Rakouska, Hongkongu nebo Ruska.

Otázkou je, jak těmto nákazám ve firmách a institucích předcházet. „Správné nástroje, nastavení a bezpečnostní politika umožní předejít 99 procentům hrozeb,“ tvrdí šéf telavivské společnosti, která své bezpečnostní moduly kombinující serverový hardware a připravený software dodává největším společnostem a vládám do celého světa. Stejně jako mnozí další lidé z oboru i Shwed upozorňuje na to, že samotné kvalitní bezpečnostní nástroje nestačí, ale je nutné důsledně dodržovat zvolenou strategii a pravidla.

Kolektivní bezpečnostní inteligence

Flame nicméně několik let spokojeně brouzdal celosvětovou sítí a žádné nástroje ho neodhalily, až nyní. Dlouhou dobu trvá odhalit i jiné a ne tak sofistikované útoky. Zhruba 85 procent z nich analytické laboratoře bezpečnostních společností odhalí během několika týdnů i delší doby. A situaci nevylepšuje ani to, že zákazníci těchto bezpečnostních firem hlásí podezřelá vniknutí do jejich sítí a počítačů odděleně.

Check Point proto vytvořil službu nazvanou ThreatCloud. Jakmile jeden z jeho zákazníků nahlásí škodlivý kód nebo jiný pokus o útok, Check Point tento popis začlení do jednotné databáze v rámci ThreatCloudu a aktualizované údaje se okamžitě promítnou také ostatním zákazníkům. Vzniká tak určitá kolektivní inteligence a na různé hrozby je možné reagovat mnohem rychleji.

Klepněte pro větší obrázek
Možná to byla vláda, možná ne. Amnon Bar-Lev (vlevo) a Gil Shwed při diskusi s novináři.

To je však na úrovni produktů pouze od jedné společnosti. S podobným projektem chce přijít také Evropská komise, která navrhuje, že s pomocí odborníků stanoví pravidla pro kybernetickou bezpečnost. Ty pak bude muset respektovat soukromý sektor, jenž se na odhalování útoků má podílet a vzájemně spolupracovat.

„Samozřejmě je možné spekulovat o tom, jestli by stát měl takové věci řídit. Zda by měl například do jisté míry kontrolovat internet, který má být ze své podstaty otevřený,“ spekuluje v salónku jednoho z berlínských hotelů prezident Check Pointu Amnon Bar-Lev. „Nicméně pokud se objeví další bezpečnostní vrstva, může to být k dobru věci a rádi se k takové spolupráci připojíme.“

Hackeři jsou často velice dobře organizování a dokážou spolu výborně spolupracovat. V kontrastu s tím stojí různé firmy a společnosti s omezenými rozpočty, které často s hackery nezvládnou držet krok. Spolupráce na druhé straně barikády by se proto mohla jevit jako funkční řešení.

Výdaje na kybernetickou bezpečnost každoročně rostou. V loňském roce se v této oblasti protočilo 17,7 miliardy dolarů, což je o více než 7 procent více, než v roce 2010, kdy se utratilo 16,4 miliardy dolarů. Malware od roku 2007 narostlo o 600 procent a bezpečnost se potýká také s novými oblastmi – například sociálními sítěmi a mobilními zařízeními.

Témata článku: Bezpečnost

49 komentářů

Nejnovější komentáře

  • Martin Senčák 1. 6. 2012 23:20:00
    američania maju zakon na skutočnú odpoveď v prípade kybernetického utoku....
  • Dvorak Jiri 1. 6. 2012 13:42:22
    Izraelští tvůrci viru se budou smát jen do té doby, než budou tvůrci...
  • Jan Matúšek 31. 5. 2012 9:10:39
    Zajímavé je, že na prvních dvou pozicích jsou hlavní aktéři...
Určitě si přečtěte

Reforma v ochraně osobních dat je pro firmy výzva  i příležitost vylepšit vlastní systémy

Reforma v ochraně osobních dat je pro firmy výzva i příležitost vylepšit vlastní systémy

** Za méně jak rok a půl vstoupí v platnost Obecné nařízení na ochranu osobních údajů ** Jedná se o aktuálně nejkomplexnější soubor pravidel na ochranu da

Včera | TechNet Microsoft | 1