Lue uutinen mobiilisivustolla

Maailman pahin haittaohjelma paljastui

Kuva: F-Securen blogi

29.5.2012 07:00 Tietoturvayritykset ovat saaneet käsiinsä vakoiluohjelman, joka erään asiantuntijan mukaan on ehkä kaikkien aikojen pahin hyökkäysohjelma. Flame tai Skywiper -nimillä tunnettu sovellus on ilmeisesti länsimaisen vakoilujärjestön käsialaa.

F-Securen blogissa tietoturva-asiantuntija Mikko Hyppönen kirjoittaa, että massiivinen, monimutkainen haittaohjelma kerää informaatiota ja vakoilee.

Haittaohjelman kehitti todennäköisesti länsimainen tiedustelu- tai sotilasorganisaatio.

Hyppösen mukaan Flamen pahin puoli se, että se on levinnyt jo vuosia.

– Stuxnet, Duqu ja Flame ovat kaikki esimerkkejä tapauksista joissa me – virustorjuntateollisuus – olemme epäonnistuneet. Kaikki nämä levisivät salassa pitkiä aikoja.

Flame on erittäin monipuolinen vakoiluohjelma. Se kerää tietoa saastuneen tietokoneen näppäimistöltä, näytöltä, mikrofonista, kiintolevyltä, verkkoyhteyksistä, langattomasta lähiverkosta, bluetooth-yhteyksistä, usb-liikenteestä ja järjestelmäprosesseista. Se voi siis esimerkiksi kuunnella tietokoneen ympäristön keskusteluja ja tarkkailla lähistöllä olevia bluetooth-laitteita.

– Skywiper on varmasti hienostunein haittaohjelma, jonka olemme tavanneet, sitä voi hyvällä syyllä väittää monimutkaisimmaksi koskaan löydetyksi haittaohjelmaksi, Crysys Lab kirjoittaa raportissaan, johon Wall Street Journal viittaa.

Venäläinen Kaspersky Labs ja unkarilainen Crysys Lab pitävät Flamea valtion tukemana tuotteena.

Flamen tartuttamia tietokoneita on löydetty erityisesti Lähi-idästä. Haittaohjelma on suunnattu tarkasti rajattuun vakoiluun. Sitä levitetään ilmeisesti usb-muistitikulla, josta ohjelman ensimmäinen kuuden megatavun kokoinen moduuli latautuu tietokoneelle.

Ohjelma ottaa internetin kautta yhteyttä useisiin komentopalvelimiin ja tarvittaessa lataa niistä uusia ohjelmamoduuleja. Ohjelman koko paketti on 60 megatavua. Tavallisesti haittaohjelmat on kooltaan korkeintaan muutamia satoja kilotavuja.

Symantecin turvaoperaatioiden johtaja Orla Cox huomauttaa, että Flame kerää valtavan määrän tietoa:

– Tavallisesti tyypillinen hyökkäysohjelma kirjoitetaan keräämään tarkasti rajoitettuja tietoja, koska muuten datamassasta on vaikea löytää haluttuja tietoja. Tämä on kuin vanhanaikaista vakoilua. Kerää kaikki mihin pääset käsiksi ja sitten siivilöi se. Tämä osoittaa, että ohjelman takana on tiedusteluorganisaatio, jolla on resursseja käsitellä tietomassoja.

Kaspersky Labsin Vitaly Kamluk nosti esiin sen kuinka rajattu hyökkäys on. Haittaohjelmasta on tavattu vain 382 tartuntaa, joista 189 Iranissa. Lisäksi ohjelman kohteena ovat yksilöt, eivät organisaatiot.

Crysys Lab arvioi, että se on voinut törmätä viitteisiin tästä haittaohjelmasta Euroopassa jo vuonna 2007 ja tartuntaan Yhdistyneissä Arabiemiirikunnissa 2008. Kaspersky ja Symantec arvelevat vakoiluohjelman käynnistyneen vuonna 2010.

Kamlukin mukaan ohjelman tekstiosat on kirjoitettu erittäin hyvällä englannin kielellä, mutta se ei välttämättä todista mitään ohjelman alkuperästä.

Symantecin Cox arveli, että ohjelma pystyy myös poistamaan itsensä koneelta. Silloin hyökkäyksen kohde ei koskaan edes tiedä, että häntä on vakoiltu.

Digitoday
toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (49)

Sivut:1 2 3 4 5

EdellinenSeuraava

Anonyymi

 0  0

Asiaton viesti Lainaa

Maailman hienostunein haittaohjelma ajaa OCX:iä (Olettaen että kuva liittyy asiaan)

Ihmettelen myös...
Jos kaverit kerran on niin hyviä niin ei kai ne millään Visual Basicillä mitään haittaohjelmia tee ?

Tosin aika yleistä nykyaikana, jolloin yliopistot massatuottaa "ohjelmoijia" jotka eivä osaa muuta kuin Visual Basiciä ja Javaa ja eikä niillä ole hajuakaan perustason konsepteista kuten muistin hallina, tietokoneen rekisterit taikka osoittimet.

Ai niin...
Lisäisin vielä että tuo haittaohejlma on aika läski (60 Megaa Tsiisus).

Jos se olisi toteutettu C:llä niin se olisi korkeintaan vienyt n. 15 Megaa, *maksimissaan" ja jos Assemblyllä niin maximissaan about 6 megaa.

Joten kyllä ne pojat/tytöt tosiaan on tainnut vääntää sen Visual Basicillä

Ihmetyttää kuinka yksikään virustorjunafirma ei ole aikaisemmin huomannut noin pulskaa haittakoodia.
:D

Johtuisiko viruksen sairaalloinen lihavuus siitä että ohjelma on tehty jenkeissä jossain tehottomassa valtion virastossa?

123456zxcvbnm 2.6.2012 19:43

Anonyymi

 0  0

Asiaton viesti Lainaa

Apple käyttäjä on se pahin tietoturvariski mitä löytyy.
On menaan sen verran teknisesti lahjatonta porukkaa, etten koskaan palkkaisi omaan kioskiini hommiin.

kioskinpitäjä 12.6.2012 21:07

Anonyymi

 0  0

Asiaton viesti Lainaa

Ei tämä uutinen ole mikään ihme. Jokainen tietokoneen käyttäjä voi tuntea tälläisiä haittaohjelmia. Itse olen ihmetellyt tulostinskannerini käytöstä, kun tietokone on päältä pois yön aikaan niin satunnaisina öinä tulostinskanneri ihan itsestään "herää" ilman, että kukaan on edes virtakytkintä painamassa? Jollakin tavalla se itse käynnistää itsensä jollakin "verkkokäskyllä"? Kyllä se jotakin tekee ja aika pitkän ajan koska se osaa myös jonkin ajan päästä sammuttaa itsensä ilman virtakytkintä. Koska tietokoneeni ei ole yön aikaa päällä en voi katsoa mitä dataliikennettä tuosta on syntynyt. Ehkä se suorittaa raportointia valmistajalleen?

itsestään käynnistyv 1.7.2012 11:02

Anonyymi

 0  0

Asiaton viesti Lainaa

XP ei tukenut niin hyvin salattua vakoilua.
WIndows7 ja Windows8 ovat kuin luotuja piilovakoilulle.

Ihmetteletko miksi Windows 7 on niin raskas ja hyydyttää uusimmankin koneen. Aivan.
Edes turhien komponenttien sammutus ei auta.

Mitäköhän idenksointi tekee kun on niin järkyttävän hidas?

Loogs 6.8.2012 21:00

Anonyymi

 0  0

Asiaton viesti Lainaa

Kommentoijanerot ovat taas vauhdissa. Aika jännää tuo fanittaminen.

joutilas 17.8.2012 10:56

Anonyymi

 0  0

Asiaton viesti Lainaa

WIN8 on täydellinen vakoilukone.

www 24.8.2012 16:43

Anonyymi

 0  0

Asiaton viesti Lainaa

"Itsellä Omena, Winkku ja Linuxilla toimiva Nintendo DS."
En ihan usko että Nintendoissa on Linux.

Että mitä sakkia taa 18.9.2012 20:47

Anonyymi

 0  0

Asiaton viesti Lainaa

Valitatte Winkun kaatuilusta ja muusta temppuilusta, koska ette osaa käyttää sitä.
Uusimmat Windowsit ovat edes jotain osaavissa käsissä oikein meneväisiä käyttöjärjestelmiä.

Itsellä Omena, Winkk 18.9.2012 20:48

Anonyymi

 0  0

Asiaton viesti Lainaa

Ja minä kun luulin että maailman pahin haittaohjelma on Windows; syö muistia, kaataa koneen milloin mistäkin syystä ja jumittaa toistuvasti....

Mitähän windows versiota käytät? Ja millä HW:lla? Suurimmat ongelmat windowsissa nykyään taitaa olla heikossa HW:ssa. Minulla on ainakin windowsin eri versiot ovat pyörineet tosi hyvin viimeisen kymmenen vuoden ajalla. Ainoa selkeä ongelma oli heikko tasoinen Epoxin emolevy.

Nyt tätä kirjoitan mini-macillä sitä rantapallon pyöritystä saa tässä katsella ihan riittävästi.

Ai niin, eihän näitä asioita saanutkaan kertoa. Fanaatikot hermostuvat!

Pekka 30.9.2012 18:28

Sivut:1 2 3 4 5

EdellinenSeuraava

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti

Bottivarmistus: mitä on nolla ynnä kuusi?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.