"Flamme" Cyber-Waffe ging unentdeckte für mindestens vier Jahre

2013-12-28  |  Comebuy News

Die Flame'super-Malware' infizierenden Computer so lange wie vier Jahre gewesen und war weniger unsichtbarer für antivirus Software als angenommen, eine Analyse von Sicherheitsunternehmen AlienVault geschlossen hat.

Comebuy Verwandte Artikel: Bericht über die Kerbe Gefährdung der tibetischen Nationalaufstandes verwendet als Köder in Angriff gegen ThemAlienVault zentrale Bedrohung, die Erkennung SystemHackers Hochfahren Angriffe gegen tibetische ActivistsMalware Macs durch Microsoft Office VulnerabilityChinese infiziert erstellt 'Angriff US DoD-Smartcards' mit Sykipot malware

Auf den ersten Blick seine AlienVault Analyse ist nur eine weitere forensische Vermutung nach peering an die wichtige mssecmgr.ocx-Win32 PE (portable Executable)-Datei, die 'eine Kupplung Programmierung Funktionen exportiert'. Wie vom ungarischen CrySys Lab auseinander gezogen, enthält dieser die Debug-Einträge vorschlagen 2011 Erstellungsdatum.

Jedoch eine ältere Version der gleichen Datei verweist auf eine kleinere Anzahl von Funktionen und kommt mit einem Datum der Erstellung in 2008, was eine längere Entwicklung Timeline für die Software darauf hindeutet.

Zwingend, hasht die MD5-Datei ausführen (man denke an sie als Datei Fingerabdrücke) über die VirusTotal-Website, die verdächtige Dateien gegen 40 antivirus-Programme und Datensätze, die die Signatur der einzelnen Dateien wie es tut, so dass Elemente der Flamme erweisen sich auf dem System in der Vergangenheit tauchte haben läuft.

Einige dieser Komponenten erweisen sich gesehen haben in der Größenordnung von 2008-2011 Daten mit CrySis, die Meldung, dass eine einzelne Datei, Wavesup3.drv, bereits im Dezember 2007 gefunden wurde. Dies später in den Vereinigten Arabischen Emiraten im April 2008 und dem Iran im März 2010 aufgetaucht.

Dass VirusTotal vorbei an diese Dateien gebürstet würde nicht bedeuten, dass eine antivirus-System würde Flamme erkannt haben für was es war; viele Dateien möglicherweise bemerkt, aber nur in einer Weise isoliert, "Generikum" als fehlerverdächtig gekennzeichnet.

Was ist ein Hinweis darauf ist, dass die Flamme hat schon seit Jahren in einer Reihe von Formen, im Laufe der Zeit geändert und es gibt wahrscheinlich mehr Teile seine Gestaltung noch zu entdecken gilt.

Was diese Daten decken nicht ist, wenn die Malware (oder Teile davon) waren tatsächlich eingesetzt und wo, geschweige denn von wem mit welchem Ziel.

"Ein außergewöhnlicher Anspruch erfordert außergewöhnliche Belege" als Kosmologe Carl Sagan einmal geflügelten Wort, sondern mit Flamme (oder Flamer oder SKyWIper - nicht der Name die Branche einigen) schon Beweise in Form von einer großen Sammlung von kleinere Fragmente.

Seitdem es Anfang dieser Woche veröffentlicht wurde, wurde die Flamme Experten, unterteilt von denen meisten arbeiten für Sicherheitsanbieter, die viel zu gewinnen von Sicherheitskrisen haben und auf eine seltsame Weise, etwas zu verlieren - keiner von ihnen es ausgemacht zu haben scheinen.

Der Schock der Flamme ist weniger ihre Ziele (falls sie eingeschlossen, Iran und seine Verbündeten, die vorhersehbar ist) oder sogar seine Komplexität (obwohl das bemerkenswerte ist), aber die Tatsache, dass niemand bemerkt es bis Mai 2012.

So interessant ist, ist es positiv barocke neben die andere berühmte Beispiele dessen, was jetzt als staatlich geförderte Malware gesehen werden. Stuxnet war streng, Duqu unglaublich rätselhaft. Mit dem Modul für alles ist die Flamme über die oberen und vielleicht unvorsichtig. Experten haben eine Sackgasse auf die ersten beiden schlagen aber Flamme sieht aus, als ob es sie Arbeit für Monate oder sogar Jahre geben wird, kommen.

« Back