Újra kiberháborús fegyvert találtak a BME-n
Magyarországi célpontja is van az újonnan felfedezett kémprogramnak, a Skywipernek. A rendkívül komplex kémprogram a kommunikációs csatornák széles spektrumát figyeli, valódi kiberháborús fegyver.
A Skywiper minden korábbinál komplexebb kártevő, egy nagyságrenddel bonyolultabb, mint a CrySyS által is kutatott Stuxnet/Duqu. Ezt támasztja alá a program relatív nagy mérete is, a 20 megabájtnyi "telepített" méret vegyesen tartalmazza a kártevő saját kódját és a külső alkalmazásainak (Zlib, LUA, SQLite) könyvtárait is. A saját ideiglenes KWI kiterjesztésű állományairól Skywiper névre keresztelt kártevő központi eleme mintegy 6 megabájtos, ennek megfelelő elemzése akár évekbe is kerülhet - a Stuxnet/Duqu alaposabb megismerése fél évet emésztett fel.
Célzott kémprogram
A BME Adat- és Rendszerbiztonság Laboratóriuma, a CrySyS szerint a kémprogram a Stuxnet/Duqu-hoz hasonlóan teljesen moduláris felépítésű, a komponenseket pedig a célpontnak és a gyűjteni kívánt információknak megfelelően válogatnak össze a támadók. A CrySys által elfogott példány például kiterjedt kémkedési feladatokat végzett, figyelte a hálózati forgalmat, a képernyőt és a billentyűzetet is, de képes volt aktiválni a számítógép mikrofonját és lehallgatni a beszélgetéseket is. A program terjedéséről egyelőre keveset tudunk, az azonban már most biztos, hogy a támadás sikere után képes a hálózaton és USB-kulcsokon tovább fertőzni.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A Skywiper komplexitását jól mutatja, hogy figyeli a telepített biztonsági programokat, és annak megfelelően választ rejtőzködési stratégiát. Például a McAfee vírusirtó detektálása esetén nem .ocx hanem .tmp kiterjesztést használ, amire az adott vírusirtó kevésbé érzékeny - a Skywiper mintegy 300 minta alapján határozza meg a biztonsági szoftvert. A CrySys jelentésének egyik legmeglepőbb következtetése, hogy a kémprogram akár 5-8 éve is aktív lehet, de nem zárható ki ennél hosszabb karrier sem. Erre utal, hogy egyes komponenseket már 2007-ben is észleltek gyanúsként, 2010 és 2011 folyamán pedig megszaporodott a visszakövethető bejelentések száma.
Nem rokon
A Budapesti Műszaki Egyetem Híradástechnikai Tanszékén működő CrySyS Adat- és Rendszerbiztonság labor munkatársai vizsgálati jelentésükben egyelőre arra utalnak, hogy a Skywiper kódja nem mutat rokonságot a korábban nagy port kavart fegyverekkel, a Stuxnettel, illetve a Duquval. A felépítés komplexitása, a rendkívül precíz kivitelezés illetve egyes elemek, mint a 0xAE kódzavaró (obfuscator) kulcs és néhány exploit azonban azonos, így feltételezhető, hogy a Skywiper is ugyanazon megrendelőnek, a Stuxnet/Duquval párhuzamosan készülhetett. A párhuzamosság előnye, hogy a megfigyelt célpontok azután sem tűnnek el szem elől, miután a kettő (vagy több) kémprogramból egy lebukik.
A kutatók gyakorlatilag egyértelműnek tartják, hogy a kémprogramot kormányzati megrendelésre készítették biztonsági szakemberek, jelentős költségvetés és erőforrások ráfordítása révén. A nyilvánosságra került célpontok (Palesztina, Irán, Libanon) sorából kilóg Magyarország, a támadás célpontjáról azonban semmit nem tudni, így egyelőre találgatni sem érdemes, hogy hogyan kerültünk erre a listára.
A CrySys előzetes elemzése, illetve a Symantec és a McAfee bejegyzései már publikusak.