Kaspersky ได้ให้ความสำคัญกับหนึ่งในโค้ดที่เป็นอันตรายที่ซับซ้อนที่สุดเท่าที่เคยเขียนมา ชุดเครื่องมือที่แท้จริงสำหรับสายลับในโลกไซเบอร์ Flame จะขโมยข้อมูลมากที่สุดเท่าที่จะเป็นไปได้จากเครื่องเป้าหมาย... ในขณะที่ยังคงมองไม่เห็น
หลังจากสตักซ์เน็ตetนายกเทศมนตรี,เปลวไฟ. ทีมนักวิจัยของ Kaspersky เปิดเผยเมื่อวานนี้ว่าพวกเขาได้ค้นพบสิ่งที่พวกเขาเชื่อว่าเป็นอาวุธไซเบอร์ที่ซับซ้อนที่สุดเท่าที่เคยค้นพบมา Flame – หรือ Flamer สำหรับ Symantec – นั้นห่างไกลจากการเป็นมัลแวร์เหมือนกับมัลแวร์อื่นๆ อย่างแท้จริง โดยถูกเปิดเผยโดยการทำการวิจัยกับมัลแวร์ตัวอื่นมัลแวร์ซึ่งยังคงเก็บซ่อนความลึกลับทั้งหมดไว้ Wiper Alexander Gostev ผู้เชี่ยวชาญด้านความปลอดภัยที่ Kaspersky Labs อธิบายว่า Flame มีความซับซ้อนมากกว่า Duqu และระบุว่าเป็นเช่นนั้น“มีความซับซ้อนอย่างไม่น่าเชื่อจนได้ให้คำจำกัดความใหม่ของแนวคิดเรื่องสงครามไซเบอร์และการจารกรรมทางไซเบอร์ -
เป็นเวลาสองปีแล้วที่โครงการนี้ได้สอดแนมกิจกรรมของเครื่องจักรหลายสิบเครื่องอย่างเงียบ ๆ โดยส่วนใหญ่อยู่ในประเทศในตะวันออกกลาง เมื่อติดตั้งบนคอมพิวเตอร์ Windows แล้ว ชุดเครื่องมือสอดแนมนี้สามารถกู้คืนข้อมูลจำนวนมหาศาลได้: Flame สามารถขโมยเอกสารที่เก็บไว้ที่นั่น จับภาพหน้าจอเมื่อมีการเปิดตัวแอปพลิเคชั่นที่น่าสนใจบางตัว “ดมกลิ่น” เครือข่ายท้องถิ่น... หรือบันทึกการสนทนาด้วยเสียงจากคอมพิวเตอร์ ไมโครโฟน. และมีความเป็นไปได้สูงที่ Flame มีวิธีอื่นในการฟังที่ยังไม่ถูกค้นพบ... ทั้งหมดนี้ยังคงถูกซ่อนไว้ โดยเฉพาะอย่างยิ่งในซอฟต์แวร์ความปลอดภัย ซึ่งสามารถปิดการใช้งานได้
อีกทั้งยังทำหน้าที่เป็นบอท: ข้อมูลที่ถูกขโมยทั้งหมดจะถูกส่งไปยังผู้ให้บริการลึกลับผ่านช่องทาง SSL เป็นประจำ Kaspersky ได้ค้นพบชื่อโดเมนและเซิร์ฟเวอร์ต่างๆ ที่เชื่อมโยงไปแล้วไม่ต่ำกว่าสิบชื่อมัลแวร์และประมาณการว่าแฮกเกอร์อาจใช้โดเมนทั้งหมด 80 โดเมนเพื่อสื่อสารกับลูกน้อยของพวกเขา
ความซับซ้อนที่เหลือเชื่อ
ขณะนี้ Flame กำลังถูกค้นพบโดยนักวิจัยด้านความปลอดภัยหลายสิบคน... แต่การพยายามเปิดเผยความลับของมันจะแสดงถึงงานจำนวนมหาศาล ซึ่งคาดว่าจะใช้เวลาหนึ่งปีที่ดี: อันที่จริงแล้ว เป็นหนึ่งในซอฟต์แวร์มัลแวร์ที่ใหญ่ที่สุดที่เคยพบเห็น- “ขนาดของมันน่าประทับใจมาก แม้ว่ามัลแวร์แบบคลาสสิกจะมีน้ำหนักไม่เกิน 20 KB แต่ Stuxnet มีน้ำหนักอยู่แล้ว 600 KB แต่ Flame สามารถเข้าถึงได้สูงสุด 20 MB!-บอกเราว่า Laurent Heslaut ผู้อำนวยการฝ่ายกลยุทธ์ด้านความปลอดภัยของ Symantec
เขายังอธิบายว่าทำไมถึงเป็นเช่นนี้มัลแวร์ใหญ่มาก:“ในขณะที่ Stuxnet เป็นเพียงเครื่องมือกลับบ้านสำหรับงานเฉพาะเราอยู่ตรงหน้ากล่องเครื่องมือจริงซึ่งเรายังแสดงรายการเครื่องมือไม่เสร็จ! เปลวไฟเป็นแบบโมดูลาร์อย่างยิ่ง แต่ก็มีกลไกมากมายที่สามารถป้องกันไม่ให้เราถอดรหัสมันเร็วเกินไปและติดตามกลับไปหาผู้เขียน…”ตามคำกล่าวของ Alexander Gostev, Flame“ประกอบด้วยปลั๊กอินที่แตกต่างกันมากมาย – มากถึง 20 – ซึ่งทั้งหมดมีบทบาทเฉพาะ เครื่องที่ติดไวรัส Flame สามารถโฮสต์ได้เพียง 7 เครื่อง ในขณะที่อีกเครื่องหนึ่งจะโฮสต์ได้ 15 เครื่อง ขึ้นอยู่กับข้อมูลที่ดึงมาจากเหยื่อและระยะเวลาของการติดเชื้อ -
ชุดสายลับที่สมบูรณ์แบบนี้ถูกค้นพบในเครื่องไม่กี่ร้อยเครื่อง ในบริษัท และ... ในบ้านส่วนตัวเท่านั้น ปัญหา: เราไม่รู้ด้วยซ้ำว่าโจรสลัดฝังมันได้อย่างไร“เรากำลังตามรอยช่องโหว่ Zero Day อย่างน้อยหนึ่งรายการ*”Laurent Heslaut เปิดเผยต่อเรา โปรดจำไว้ว่า Stuxnet ใช้ข้อบกพร่องไม่น้อยกว่าสี่ข้อศูนย์วันตัวเลขพิเศษที่พิสูจน์การลงทุนที่สำคัญที่เกิดขึ้นระหว่างการออกแบบ มีแนวโน้มว่า Flame จะติดเครื่องเป้าหมายตามข้อความส่วนตัวที่ออกแบบมาอย่างดีซึ่งส่งถึงเหยื่อทางอีเมลเป็นต้น
เมื่อติดตั้งบนเครื่องแล้ว Flame จะสามารถจำลองตัวเองผ่านเครือข่ายท้องถิ่นหรือผ่านคีย์ USB“มันแพร่กระจายได้เพียงเล็กน้อยและหลีกเลี่ยงความเสี่ยงในการตรวจจับ”บอกเราว่าโลรองต์ เฮสเลาต์ นอกจากนี้ยังสามารถทำลายตัวเองได้เพื่อไม่ให้เหลือร่องรอยแม้แต่น้อยเมื่ออาชญากรรมของโจรสลัดเสร็จสิ้นแล้ว
ใครอยู่เบื้องหลังลูกพี่ลูกน้องปลอมของ Stuxnet นี้?
เมื่อผู้เชี่ยวชาญวิเคราะห์ เราจะได้เรียนรู้เพิ่มเติมเกี่ยวกับโค้ดที่น่าทึ่งนี้ Alexander Gostev ระบุ“ไม่มีความคล้ายคลึงที่สำคัญกับ Stuxnet และ Duqu”,มากกว่า "ว่าเขา อย่างไรก็ตาม มีลิงก์ที่สามารถระบุได้ว่าผู้สร้าง Flame สามารถเข้าถึงเทคโนโลยีที่ใช้ในโครงการ Stuxnet เช่น วิธีการติดไวรัสไฟล์ การทำงานอัตโนมัติ.inf -อย่างไรก็ตาม ผู้วิจัยเชื่อว่ารหัสทั้งสองนี้ได้รับการพัฒนาโดยทีมที่แตกต่างกันอย่างไม่ต้องสงสัย
ไม่ว่าในกรณีใด มันจะเป็นเรื่องยากมากที่จะค้นพบว่าใครอยู่เบื้องหลังภัยคุกคามที่ซับซ้อนเป็นพิเศษนี้“ทั้งหมดที่เราสามารถพูดได้ก็คือนี่ไม่ใช่งานของมือสมัครเล่น หรือของอาชญากรไซเบอร์ในแง่การเงิน หรือของแฮ็กทีวิสต์ เป็นการดำเนินการตามแผนที่ได้รับการสนับสนุนทางการเงินจำนวนมาก”คุณเฮสเลาท์เล่าให้เราฟัง-
“ภูมิศาสตร์ของเป้าหมายและความซับซ้อนของภัยคุกคามไม่ต้องสงสัยเลยว่าประเทศใดให้ทุนสนับสนุนการวิจัยที่นำไปสู่เปลวไฟ”นาย Gottev ถึงกับกล้าเสี่ยง การรู้ว่าอันไหนจะเป็นตัวแทนของปัญหาที่ซับซ้อนกว่ามาก
*ศูนย์วันคือช่องโหว่ที่ไม่ทราบมาก่อน ซึ่งไม่มีมาตรการตอบโต้
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
