Kaspersky Lab avastas mininuhkvara

16.10.2012

Kaspersky Lab teatas miniFlame-i avastamisest. Tegemist on väga paindliku kahjurtarkvaraga, mis on mõeldud andemete varastamiseks ja nakatud süsteemide juhtimiseks täppisrünnakute käigus.

miniFlame, tuntud ka SPE nime all, oli avastatud Kaspesky Lab-i poolt veel juulikuus ning seda peeti alguses Flame-i mooduliks. Septembris aga, pärast Flame-i juhtserverite uurimist, selgus, et miniFlame-i saab kasutada nii autonoomse kahjurtarkvarana, kui ka Flame-i ja Gauss-i plug-in’ina.

 

Avastus

miniFlame avastati detailse Flame ja Gaussi analüüsi käigus. Juulis 2012 tuvastasid Kaspersky Lab-i eksperdid John-i nimelise Gauss-i lisamooduli ning linke samalaadsele moodulile Flame-i konfiguratsiooni failides. Septembris järgnenud Flame-i juhtserverite analüüs näitas, et taasavastatud moodul on tegelikult eraldiseisev kahurtarkvara, vaatamata sellele, et see saab töötada nii Gauss-i, kui ka Flame-iga. Flame-i juhtserveritel nimetati miniFlami SPE-ks.

Tänaseks on Kaspersky Lab avastanud  6 miniFlame-i variandi, kusjuures kõik dateeruvad 2010-2011 aastasse. Samas osundab miniFlame-i analüüs veelgi varasemale arendustööde perioodile – hiljemalt 2007. aastale. Asjaolu, et miniFlame-i saab kasutada nii Flame-I, kui ka Gauss-i plug-in’ina viitab selgelt nende kahjurite arenduse eest vastutavate  tiimide koostööle. Kuna Flame ja Stuxnet/Duqu  vaheline seos on juba kindlaks tehtud, saab väita, et kõik need kahjurid on loodud ühes ja samas küberrelvavabrikus.

 

Funktsionaalsus

Arvestades, et miniFlame-i, Flame-i ja Gauss-i vaheline seos sai kinnitatud, tõenäoliselt paiguldus  esialgu miniFlame Flame-i või Gaussiga infitseeritud arvutitesse. Pärast süsteemi sattumist täidab miniFlame backdoor-i funktsioone, võimaldades kahjurtarkvara operaatoril saada infitseeritud arvutilt kõikvõimalikke faile. Lisaks sellele, teeb miniFlame infitseeritud arvuti kuvari pilte nii tarkvara, kui ka eri rakendustega töötades (Microsoft Office, Adobe Reader, messanger’id, FTP kliendid) . miniFlame edastab varastatud info oma juhtserverile, mis võib olla kas eraldatud või Flame-iga ühine). Samuti võib miniFlame juhtserveri operaator paigaldada arvutisse lisamooduli, mis infitseerib USB-andmekandjaid ning kasutab neid varastatud andmete hoiustamiseks veebiühenduse puudumisel.

Kaspersky Lab-i kommentaar: «miniFlame on täppisrünnakute teostaja instrument. Tõenäoliselt, on sellel küberrelval selgelt defineeritud sihid ning seda kasutatakse nn küberrünnaku teise laine ajal. Esimesena kasutatakse Flame-i või Gauss-i võimalikult suure ohvrite infitseerimiseks ja arvestatava info koguse saamiseks. Seejärel analüüsitakse saadud andmeid ning  tuvastatakse potentsiaalselt huitavad ohvrid, kelle arvutitesse paigaldatakse miniFlame detailsema jälgimise eesmärgil. miniFlame-i tuvastamine annab lisatõendeid, et silmapaistvaima kahjurtarkvara loojad teevad omavahel koostööd.»

 

Peamised uuringu tulemused

  • miniFlame, tuntud ka SPE nime all, on loodud sama arhitektuuriga platvormi põhjal nagu Flame. Funktsioneerib nii iseseisva nuhkvara, kui ka Flame-i ja Gaussi-i koostisosana.
  • See nuhkvara täidab backdoor-i funktsioone, võimaldades andemete varastamist ja infitseeritud süsteemide otsest juhtimist.
  • Eeldatavasti alustati miniFlami arendustöid veel 2007. aastal ning lõpetati alles 2011. aasta lõpus. Tõenäoliselt on loodud suur arv tarkvara modifikatsioone. Kaspersky Lab avastas tänaseks 6 varianti, mis kuuluvad kahele põhipõlvkonnale 4.x ja 5.x.
  •  Erinevalt Flame-ilt ja Gauss-ilt, miniFlame-iga infitseeritud süsteemide arv on tagasihoidlikum. Kaspersky Lab-i andmetel on miniFlame-iga infitseeritud 10 kuni 20 süsteemi. Hinnanguliselt on üle maailma infitseeritud süsteemide arv aga 50-60.
  • miniFlame-iga infitseeritud arvutite väike arv koosmõjus andmete varguse funktsionaalsuse ja paindlike rakendamistingimustega osutab sellele, et nuhkvara on kasutusel ainult küberluurega seotud piiritletud operatsioonide jaoks, mida tõenäoliselt alustati Flame-i ja Gauss-iga infitseeritud arvutite baasil.

Täpsem info miniFlame-i kohta leiad siit:

http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_and_his_friends