image

Supercomputer analyseerde Flame-slachtoffers (Interview)

maandag 5 november 2012, 09:45 door Redactie, 6 reacties

Het zeer geavanceerde spionagevirus Flame werd door mensen ontwikkeld, maar een supercomputer analyseerde en selecteerde de slachtoffers die vervolgens met MiniFlame besmet werden. Dat vertelt Costin Raiu, hoofdonderzoek van het Russische anti-virusbedrijf Kaspersky Lab tegenover Security.nl. Gisteren verscheen het eerste deel van het interview met Raiu, vandaag het tweede en laatste deel, waar hij ook in gaat op de toekomst van 'supermalware'.

Flame werd begin dit jaar ontdekt. Het spionagevirus was ontwikkeld om onzichtbaar te bleven en allerlei informatie van besmette systemen te stelen. Naast Flame behoren ook Stuxnet, Duqu, Gauss en MiniFlame tot de familie van supermalware waar anti-virusbedrijven langzaam steeds meer over te weten komen.

Supercomputer
Na bestudering van Flame, Gauss en MiniFlame, de laatste in de serie van geavanceerde malware die werd ontdekt, concluderen de onderzoekers dat de aanvallen in golven plaatsvonden. Golven waarbij grote hoeveelheden data werden gestolen. "In eerste instantie dachten we dat honderden mensen de door Flame gestolen gegevens verwerkten, maar nu begrijpen we dat dit automatisch door supercomputers gebeurde", aldus Raiu

Sommige campagnes duurden verschillende weken, waarbij duizenden slachtoffers op een nog onbekende manier besmet werden. Vervolgens werd er zoveel informatie als mogelijk van de computers gestolen, waarna de malware zichzelf weer verwijderde.

Al die gestolen data werd verwerkt door een supercomputer, om vervolgens interessante slachtoffers te selecteren. Voor deze interessante doelwitten werd de MiniFlame-malware ingezet. Deze malware werd onlangs door Kaspersky onthuld.

"Deze aanvallen vonden in golven plaats en we hebben alleen een kans gekregen om tussen de golven mee te kijken. Een volle aanvalsgolf hebben we niet gezien. We kunnen aannemen dat dit soort aanvalsgolven wel hebben plaatsgevonden, gezien de data van de Command & Control-server die we konden bekijken. Toen werden duizenden systemen aangevallen, waarna de schoonmaak plug-in verscheen", laat Raiu weten.

Datadiefstal
Eerder werd duidelijk dat het de aanvallers om bepaalde bestandstypen te doen was, zoals Microsoft Office, PDF, Autocad en anderen. In totaal werd er naar 40 bestandsextensies gezocht, elk met een eigen prioriteit. Bij elke 'run' maakte de malware maximaal 16MB aan bestanden buit. Een vast geprogrammeerde waarde.

Op de C&C-server zag Kaspersky 5 gigabyte aan gecomprimeerde en versleutelde data. De server versleutelde de bestanden met private key encryptie, zodat die alleen toegankelijk voor de aanvallers was. In totaal zijn er waarschijnlijk tientallen gigabytes aan informatie gestolen. "Dit werd zeker niet door een mens, laat staan honderd mensen handmatig geanalyseerd. Alles werd automatisch aan de severkant gedaan." Flame kon tekst uit Word-documenten halen, zodat het de gegevens sneller kon versturen en analyseren op sleutelwoorden,.

De vraag blijft waarom de makers van Flame de interessante slachtoffers opnieuw met malware infecteerden in de vorm van MiniFlame. Ze hadden namelijk al toegang tot het systeem. Raiu merkt op dat Flame met zijn 20MB in omvang een gigantisch programma is. "Ik denk om de kans op detectie te verkleinen, ze voor de interessante slachtoffers een kleine module gebruikten, genaamd MiniFlame."

Deze malware is 100KB in omvang. Het grootste verschil tussen de beide supermalware is dat Flame volledig automatisch is. MiniFlame wordt altijd vanaf de server aangestuurd. "MiniFlame laat de aanvallers direct met de computer van de slachtoffers meekijken om te zien waar ze aan werken, om screenshots te maken en bestanden te downloaden.

"Flame is een ongeleid projectiel dat je afvuurt in de hoop zoveel doelen als mogelijk te raken. Aan de hand van teruggestuurde data zoek je de interessante doelen voor de volgende campagne."

Toekomst
Flame is nu een afgesloten hoofdstuk en wordt niet meer actief onderzocht, hoewel dat niet het einde van de supermalware betekent. Raiu merkt op dat er tenminste één ander project van de Flame-makers actief is. Op de C&C-server werden vier verschillende client-types gezien. De makers noemden hun malware clients. Eén heette FL, wat staat voor Flame. De ander heet SPE, wat de aanduiding voor MiniFlame is. De andere twee gaan als SP en IP door het leven.

"We weten dat de MiniFlame intern als SPE versie 4 en 5 werd aangegeven. SP is waarschijnlijk een oude versie van MiniFlame die niet meer bestaat. De meest geavanceerde versie in het overzicht heeft indexnummer 6. Flame heeft nummer 3, MiniFlame heeft indexnummer 2. Projectnummer 6 is waarschijnlijk de meest geavanceerde van al deze projecten, maar we weten ook niets over nummer 4 en nummer 5.

De malware met de codenaam 'IP' is een nummer '6' project, maar ook hier is geen informatie over beschikbaar. "Op het moment is het boek gesloten, maar als er informatie verschijnt duiken we er weer in."

Cyberoorlog
Raiu ziet in Flame het bewijs van een opkomende cyberoorlog tussen landen. Een cyberoorlog waarbij beveiligingsbedrijven vooral de wapens uit het verleden ontdekken en bestrijden, aangezien Flame, maar ook Stuxnet, jaren geleden zijn ontwikkeld. Dat geeft alleen maar te denken waar de ontwikkelaars nu mee bezig zijn.

"We kunnen alleen maar aannemen dat de nu ontdekte operaties zoals Flame en Gauss worden vervangen door nieuwe geavanceerde malware." Op de vraag of we deze nieuwe malware pas over een paar jaar zullen ontdekken is Raiu voorzichtig. "Misschien ontdekken we het over een paar jaar, misschien ook nooit."

Reacties (6)
05-11-2012, 11:29 door Fabian76
Dit virus moet toch haast wel door een overheid gemaakt en beheerd zijn. Wie heeft er anders toegang tot supercomputers en het budget daarvoor.
Maar als ze kunnen zien hoe veel en wanneer er data opgehaald werd, dan kunnen ze toch ook zien waar naartoe al die data gesluisd werd?
05-11-2012, 12:03 door Anoniem
Zonder de details te kennen zou je ook kunnen vermoeden dat met 'supercomputer' hier bedoeld wordt een cluster van op zich eenvoudige machines. Er zijn voorbeelden genoeg van wetenschappers die met een clustertje PlayStations de prachtigste dingen uithalen. En er zijn volghens mij genoeg (georganiseerde) criminele organisaties die zoiet makkelijk kunnen betalen.

En dat brengt me bij een vraag, gerelateerd aan BOINC, het 'distributed computing' platform. Hoe weet je nou als deelnemer aan één of meer BOINC-projecten zeker dat je niet staat "mee te rekenen" aan iets crimineels??

Zie hier:
http://nl.wikipedia.org/wiki/Berkeley_Open_Infrastructure_for_Network_Computing

Weet iemand hier een antwoord op?
05-11-2012, 12:50 door Anoniem
Waarom heb je een 'supercomputer' nodig om 5GB aan gecomprimeerde data te analyzeren, dat snap ik niet helemaal... :)
05-11-2012, 15:37 door Anoniem
Over de BOINC-vraag: kun je heleboel over vinden op de homepage van BOINC zelf. Kwestie van lezen (had ik niet gedaan).
05-11-2012, 19:50 door Anoniem
Er zijn zat instanties die namens "de overheid" werken en als er iets aan de hand is of fout loopt weet "de overheid" van niets. Dit soort virussen zijn pas het topje van de ijsberg. Ze beginnen nu pas in te zien dat de computer veel meer is dat een soort zakrekenmachine. En geloof me dat alles wat op een moederboord zit echt niet alleen voor de computer is bedoeld.
10-11-2012, 15:48 door AdVratPatat
Door Anoniem: Over de BOINC-vraag: kun je heleboel over vinden op de homepage van BOINC zelf. Kwestie van lezen (had ik niet gedaan).
Je haalt me de woorden uit de mond :p Daarnaast moet je eerst zelf selecteren wat je wilt ondersteunen, zo werk ik alleen mee aan de Europese initiatieven die ik ken...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.