ArsaGianta

Pentagon zwraca się do uniwersytetów graczy i firm w o pomoc w rozwoju cyberbroni umożliwiającej skuteczne ataki i odwety. Projekt X to projekt DARPA i ma na celu zaprząc komputery do wydajniejszego prowadzenia wojny.

Broń miała by służyć do błyskawicznego przejmowania kontroli nad poszczególnymi obiektami strategicznymi przeciwnika jak np. elektrownie. W ten sposób można uczynić wojnę bardziej humanitarną, gdyż do tej pory najskuteczniejszym sposobem na pobawienie przeciwnika zasilania było wysłanie bombowców.

System miałby się składać z mapy pozwalającej monitorować stan obiektów takich, jak np. sieci elektryczne czy transportowe, czy systemy w danej sekcji są podatne na atak oraz przepustowość określonych dróg w internecie, a także scenariusze do zautomatyzowanych ataków, jak np. wyłączenie komputerów. Mapa pozwalałaby także podejrzeć w każdej chwili stan internetu, gdyż ten ciągle się zmienia.

Eksperci wyrażają obawy o konsekwencje, jakie mogą dotknąć cywilów i szpitale. System powinien mieć możliwość wycofania ataku.
Program startuje latem bieżącego roku i będzie kosztować 110 mln dolarów.

Źródło: Wolne Media

Właśnie wyszły na jaw informacje, ze prezydent Obama już w pierwszych miesiącach urzędowania zarządził przeprowadzenie cyberataków na irańskie systemy komputerowe sterujące praca kluczowych systemów w programie atomowym Iranu.
Początkowy plan powstał już w 2006 roku za czasów prezydentury Georga W. Busha i zyskał wtedy nazwę kodową Olympic Games ( Igrzyska Olimpijskie). Obama postanowił przyspieszyć operację nawet mimo tego, że element wirusa przypadkowo stał się publiczny, gdy program rozesłał się w sieci Internet po wydostaniu z zakładu Natanz w Iranie.

Specjaliści, którzy badali kod wirusa dali mu nazwę Stuxnet. Złośliwe oprogramowanie powstało wspólnymi siłami amerykańskimi i izraelskimi. To właśnie Izraelczycy mieli napisać cześć kodu, która nie zawierała możliwość zorientowania się wirusa, co do środowiska, w jakim się znajduje. Irańscy inżynierowie z Natanz po podłączeniu swoich komputerów do domowego Internetu spowodowali rozesłanie wirusa i jego replikację po całym świecie.

Obama miał chwile zawahania w momencie upublicznienia kodu, ale został przekonany do kontynuowania programu, gdy pokazano mu dowody na to, że Stuxnet nadal sieje zamęt w irańskich systemach komputerowych. W kilka tygodni potem przeprowadzono kolejną falę cyberataków. Ostatnia seria ataków zdołała podobno unieszkodliwić od 1000 do nawet 5000 wirówek stosowanych w Iranie do wzbogacania uranu. Sam Iran temu zaprzecza przyznając, że wirus został wykryty i usunięty.

Amerykanie dopiero niedawno przygnali do prowadzenia operacji wojskowych w cyberprzestrzeni. Znane są przypadki włamywania się do komputerów członków Al Kaidy. Jednak operacja Olimpic Games to przedsięwzięcie dużo bardziej skomplikowane.
Powstaje w tym momencie pytanie czy tego typu operacje wymierzone w obce państwo, sterowane przez służby nawet kilku sprzymierzonych państw nie są po prostu wypowiedzeniem wojny?

Źródło:

Szpiegowski robak, Flame, przykuł uwagę ekspertów tej firmy po tym, jak jedna z agencji Organizacji Narodów Zjednoczonych, Międzynarodowy Związek Telekomunikacyjny (ITU), zwróciła się o pomoc w poszukiwaniu nieznanego kodu szkodliwego oprogramowania, które na Bliskim Wschodzie zostało użyte do niszczenia poufnych informacji. Podczas poszukiwania kodu tego szkodnika, któremu nadano kryptonim Wiper, wykryto nowy egzemplarz szkodliwego oprogramowania - Worm.Win32.Flame.

Chociaż cechy robaka Flame różnią się w wielu punktach od znanych do tej pory zaawansowanych zagrożeń - Duqu i Stuxneta - to geografia ataków i wykorzystanie określonych luk w zabezpieczeniach oprogramowania oraz fakt, że atakowane są tylko wybrane komputery – wszystko to świadczy o tym, że Flame należy do tej samej kategorii cyberbroni' stosowanych obecnie na Bliskim Wschodzie przez nieznanych sprawców. Flame spokojnie może zostać
nazwany jednym z najbardziej złożonych zagrożeń, jakie kiedykolwiek zostało odkryte. Robak jest duży i niezwykle wyrafinowany.

Czym dokładnie jest Flame? Robakiem? Backdoorem? Jak działa?
Flame jest zaawansowanym zestawem narzędzi ataku, dużo bardziej skomplikowanym niż Duqu. Jest backdoorem i trojanem. Posiada cechy robaka, pozwalające mu na replikację w sieci lokalnej oraz na nośnikach wymiennych, jeżeli taka będzie wola jego operatora. Początkowy punkt wniknięcia Flame'a pozostaje nieznany - podejrzewa się, że jest wdrażany poprzez ataki ukierunkowane; jednak, nie zaobserwowano głównego wektora jego rozprzestrzeniania. Podejrzewa się, że wykorzystywana jest luka MS10-033. Po zainfekowaniu systemu, Flame rozpoczyna wiele złożonych operacji, w skład których wchodzi: podsłuchiwanie ruchu sieciowego, wykonywanie zrzutów ekranu, nagrywanie rozmów audio, przechwytywanie znaków wprowadzanych z klawiatury itp. Wszystkie te dane są dostępne dla operatorów poprzez link do serwerów kontroli Flame'a. W późniejszym czasie operatorzy mogą zadecydować o załadowaniu dodatkowych modułów, które rozszerzą funkcjonalność Flame'a. W sumie jest ponad 20 modułów. Przeznaczenie większości z nich jest wciąż badane.

Jak zaawansowany jest Flame?
Przede wszystkim Flame jest ogromnym pakietem modułów, obejmującym po pełnej instalacji prawie 20 MB danych. Za względu na rozmiar szkodnik jest niezmiernie trudny do analizy. Powodem sporego rozmiaru Flame'a jest to, że zawiera on wiele różnych bibliotek (służących np. do kompresji (zlib, libbz2, ppmd) i manipulacji bazą danych (sqlite3)) wraz z maszyną wirtualną LUA. LUA jest językiem skryptowym, który może zostać bardzo łatwo rozszerzony i podłączony do kodu C. Wiele części Flame'a posiada składnię logiczną wysokiego poziomu napisaną w LUA - wraz ze skutecznymi procedurami ataku i bibliotekami opracowanymi na bazie C++. Efektywny kod LUA stanowi raczej małą część w porównaniu z całością kodu. Dodatkowo, istnieje kilka wewnętrznie używanych, lokalnych baz danych z zagnieżdżonymi zapytaniami SQL, wiele metod szyfrowania, różne algorytmy kompresji, oskryptowana instrumentacja zarządzania Windows (WMI) itp. Uruchamianie i debugowanie tego złośliwego oprogramowania również nie jest proste, ponieważ nie jest to konwencjonalna aplikacja wykonywalna, ale kilka plików DLL, które są ładowane przy uruchomieniu systemu.

Czym Flame różni się od innych trojanów i dlaczego jest bardziej wyrafinowany niż jakikolwiek inny backdoor? Czy robi jakieś rzeczy, które są zupełnie nowe?

Przede wszystkim nietypowe jest użycie języka LUA w szkodliwym oprogramowaniu. To samo tyczy się dużego rozmiaru tego zestawu do ataku. Ogólnie rzecz ujmując, nowoczesne szkodliwe oprogramowanie ma niewielkie rozmiary i pisane jest w kompaktowych językach programowania, które sprawiają, że taki program można łatwo ukryć. Praktyka ukrycia szkodliwych funkcji przez zastosowanie dużej ilości kodu jest jedną z osobliwości Flame'a.
Dość nietypową funkcją jest zapisywanie danych audio z wewnętrznego mikrofonu komputera. Oczywiście istnieje inne złośliwe oprogramowanie, które jest w stanie nagrywać dźwięk, ale kluczową cechą Flame'a jest jego kompletność - zdolność do kradzieży danych na wiele różnych sposobów. Kolejną ciekawą cechą Flame'a jest możliwość korzystania z urządzeń Bluetooth. Kiedy protokół Bluetooth jest dostępny i odpowiednia opcja zostanie uaktywniona w bloku konfiguracyjnym, Flame zaczyna gromadzić informacje na temat urządzeń wykrywanych w pobliżu zainfekowanej maszyny. W zależności od konfiguracji, może również zamienić zainfekowany komputer w przynętę czyniąc go dostępnym przez Bluetooth i dostarczyć ogólne informacje na temat stanu szkodliwego oprogramowania, zakodowane w informacji o urządzeniu.

Jakie są funkcje kradzieży informacji?
Chociaż wciąż analizowane są różne moduły programu, wiadomo, że Flame jest w stanie nagrywać dźwięk za pomocą mikrofonu, jeśli takowy jest obecny. Przechowuje nagrany dźwięk w formacie skompresowanym, a robi to używając ogólnie dostępnej biblioteki. Zapisane dane są regularnie wysyłane do centrum kontroli poprzez utajniony kanał SSL. Szkodnik ma możliwość regularnego wykonywania zrzutów ekranu; co więcej, zdejmuje zrzuty ekranu kiedy uruchomione są "interesujące" aplikacje, np. komunikatory internetowe. Zrzuty ekranu zapisywane są w formacie skompresowanym i regularnie wysyłane do serwera kontroli - podobnie jak nagrania audio.

Czy jest to atak sponsorowany przez jakieś państwo? Czy może został zainicjowany przez grupę cyberprzestępczą lub haktywistów?
Obecnie w teatrze cyberwojennym istnieją trzy znane klasy graczy, którzy rozwijają malware i spyware: haktywiści, cyberprzestępcy oraz rządy państw. Flame nie został zaprojektowany do wykradania pieniędzy z kont bankowych. Różni się również od dość prostych narzędzi hakerskich i złośliwego oprogramowania, wykorzystywanego przez haktywistów. Tak więc, wykluczając haktywistów i cyberprzestępców, dochodzimy do wniosku, że Flame powstał z inicjatywy trzeciej klasy graczy. Dodatkowo, rozkład celów szkodnika (państwa znajdujące się na Bliskim Wschodzie), a także złożoność zagrożenia, nie pozostawiają wątpliwości, że jakieś państwo sponsoruje badania owocujące rozwojem Flame'a.

W jakie branże lub organizacje celuje Flame? Czy są to zakłady kontroli przemysłowej / PLC
/ SCADA? Jakie są cele i jak dużo ich jest?

Nie wydaje się być określonego rodzaju organizacji, na które ukierunkowany jest Flame. Ofiary to zarówno osoby fizyczne, jak i niektóre organizacje państwowe i instytucje edukacyjne. Oczywiście zbieranie informacji na temat ofiar jest trudne z powodu rygorystycznych zasad gromadzenia danych osobowych, mających na celu ochronę tożsamości użytkowników.

Czy istnieje tylko jeden wariant Flame'a czy jest ich kilka?
Na podstawie informacji otrzymanych z Kaspersky Security Network obserwujemy "na wolności" różne wersje szkodnika - o różnych rozmiarach i zawartości. Oczywiście - przy założeniu, że szkodnik jest w fazie rozwoju od kilku lat - oczekuje się, że "na wolności" zostanie zaobserwowanych jeszcze więcej różnych wersji robaka Flame. Dodatkowo, Flame składa się z różnych modułów, w sumie dwudziestu, które pełnią różne role. Konkretna infekcja Flamem może wykorzystywać 7 modułów, a inna np. 15. Wszystko zależy od rodzaju informacji, które mają zostać "wyrwane" ofierze oraz jak długo dany system pozostaje zainfekowany Flamem.

Czy główny serwer kontroli jest nadal aktywny? Czy istnieje kilka nadrzędnych serwerów kontroli? Co się dzieje gdy zainfekowana maszyna nawiązuje połączenie z serwerem kontroli?
Istnieje kilka serwerów kontroli, rozproszonych po świecie. Doliczono się około tuzina różnych domen kontroli, uruchomionych na kilku różnych serwerach. Mogą również istnieć inne pokrewne domeny, co może dać około 80 różnych domen, które są wykorzystywane przez Flame'a do kontaktu z centrami kontroli. Ze względu na ten fakt, bardzo trudnym zadaniem jest wyśledzenie miejsc rozmieszczenia poszczególnych serwerów.

Czy Flame został stworzony przez grupę odpowiedzialną za Duqu / Stuxneta? Czy istnieje podobieństwo kodu źródłowego lub inne cechy wspólne?
Jeżeli chodzi o rozmiar, Flame jest około 20 razy większy niż Stuxnet. Flame nie posiada żadnych większych podobieństw do Stuxneta / Duqu. Dla przykładu, kiedy Duqu został wykryty, dla każdego kompetentnego badacza było jasne, że stoją za nim ci sami ludzie, którzy stworzyli Stuxneta na platformie określanej mianem "Tilded". Flame wydaje się być projektem uruchomionym równolegle ze Stuxnetem / Duqu, ale nie używającym platformy "Tilded". Istnieje jednak kilka przesłanek, które wskazują, że twórcy Flame'a mieli dostęp do technologii wykorzystanych w projekcie Stuxnet - takich jak użycie metody infekcji "autorun.inf", wraz z jednoczesną eksploatacją luki bufora wydruku - co mogłoby wskazywać, że autorzy Flame'a mieli dostęp do tych samych exploitów, co twórcy Stuxneta.

Z drugiej strony, nie można wykluczyć, że obecne warianty Flame'a zostały rozwinięte po wykryciu Stuxneta. Możliwe jest, że twórcy Flame'a użyli publicznych informacji na temat metod dystrybucji Stuxneta i zaimplementowali je w robaku Flame.

Źródło:

Ludzkości grozi zakrojona na szeroką skalę epidemia cybernetyczna, która może położyć kres „światowi, który znamy” – oświadczył Jewgienij Kaspierski, założyciel jednego z najsłynniejszych rosyjskich laboratoriów, zajmujących się walką z wirusami komputerowymi. 

Obawy wzbudził wirus Flame, wykryty niedawno w 600 komputerach na Bliskim i Środkowym Wschodzie. Jak twierdzi firma Laboratorium Kaspierskiego, jest on najpotężniejszym i najbardziej skomplikowanym ze wszystkich kiedykolwiek istniejących wirusów. Szkodliwy program może przechwycić dane, a nawet nagrywać rozmowy.

Stworzyć taki wirus, który według szacunków Kaspierskiego kosztuje 100 mln dolarów, może obecnie wiele krajów.

Głos Rosji

Na "pejsbukowych" tablicach znajomych pojawiają się linki wyglądające na prowadzące do zdjęcia, ale w rzeczywistości będące plikiem .exe, który po uruchomieniu infekuje komputer złośliwym oprogramowaniem.

Linki publikowane na Facebooku przez zainfekowanego użytkownika wyglądają następująco:

    http://ujkpictures.net/images12.php?ref=facebook&w***&resource=youtube [Nazwisko] :* favourite khvtk! :D



http://ikeafotosonica.com/watch.php?ref=facebook&w=Marcin&resource=youtube [Nazwisko] :* favourite iaebv! :D



http://wonderpicturesonc.net/albums.php?ref=facebook&w=Marcin&resource=youtube [Nazwisko] :* favourite jnphih! :D

Wirus po odpaleniu, wg niekórych raportów, kasuje m.in. kontakty w Gadu-Gadu oraz odpytuje po UDB m.in. następujące domeny:

digbig.com DNS_TYPE_A 176.56.58.22 1 udp

budurl.com DNS_TYPE_A 98.129.251.112 1 udp

tinylink.com DNS_TYPE_A 213.186.33.5 1 udp

awe.sm DNS_TYPE_A 174.129.233.169 1 udp

shorturli.org DNS_TYPE_A 127.0.0.1 1 udp

checkshorturl.com DNS_TYPE_A 213.186.33.19 1 udp

a.gd DNS_TYPE_A 72.52.201.204 1 udp

yvy.me DNS_TYPE_A 85.94.194.181 1 udp

burnurl.com DNS_TYPE_A 208.87.35.105 1 udp

dfl8.me DNS_TYPE_A 74.53.171.194 1 udp

doiop.com DNS_TYPE_A 88.191.148.136 1 udp

yep.it DNS_TYPE_A 199.19.81.226 1 udp 

Serwis VirusTotal pokazuje, że plik wykrywają póki co tylko 2 z 42 antywirusów (NOD32 i DrWEB). Gdyby do kogoś jeszcze nie dotarło, napiszmy to dużymi literami: NIE POBIERAĆ (i przekazać zainfekowanemu znajomemu, aby się przeskanował jednym z tych 2 wyżej wymienionych antywirusów

Źródło: