HAITTAOHJELMAT
Ossi Jääskeläinen, MikroPC, 28.5.2012, 17:47Maailman monimutkaisin vakoiluohjelma löytyi: vakoillut vuosia, epäillään valtion tekemäksi [Flame]
Budapestin yliopiston haittaohjelmia tutkiva Crysys Lab on tänään julkaissut raporttinsa (pdf), jossa yhtiö kertoo Skywiper- ja Flamer-nimillä (päivitys: sittemmin nimeksi on vakiintunut Flame) tunnetusta haittaohjelmasta, joka varastaa käyttäjän tietoja.
Kybersodankäynnin aseeksi epäilty Skywiper on levinnyt etenkin Iranissa ja sen lähimaissa kuten Israelissa, Sudanissa, Syyriassa, Libanonissa, Saudi-Arabiassa ja Egyptissä.
Haittaohjelman tarkoituksena on ollut varastaa tietoja. Siitä ei ole varmuutta, onko kyseessä perinteinen teollisuusvakoilu vaiko esimerkiksi mahdollisten joukkotuhoaseiden valmistamisen havaitsemiseksi tehty vakoiluohjelma.
"Skywiper kerää tietoja kaikilla mahdollisilla tavoilla, kuten näppäimistön painalluksista, ruudulta, mikrofonista, tallennusvälineiltä, verkosta, wlan-verkosta, bluetoothin ja usb:n avulla sekä järjestelmäpalveluista", Crysys Labin edustaja kertoi Telegraphille.
Skywiper/Flame on maailman monimutkaisin
The Globe and Mail kertoo, että viruksen havainneen Kaspersky Labin mukaan kyseessä on maailman monimutkaisin haittaohjelma - jopa monimutkaisempi kuin niin ikään Iranissa levinneet Stuxnet ja Duqu, joiden on arvioitu olevan Yhdysvaltain, Israelin tai mahdollisesti Kiinan valtion tekemiä.
Skywiper/Flame leviää Stuxnetin (Wikipedia) ja Duqun (Wikipedia) tavoin pääosin Iranissa. Iranin ydinlaitoksia saastuttaneet Stuxnet ja Duqu olivat maailman monimutkaisimmat koskaan paljastuneet kybersodankäynnin välineet - ja nyt paljastunut Skywiper/Flame on siis kumpaakin monimutkaisempi ja sen valmistamiseen on tarvittu "huomattava budjetti ja huomattava määrä vaivannäköä".
"Meiltä meni puoli vuotta Stuxnetin analysoimiseen, Skywiper on 20 kertaa monimutkaisempi" Kasperskyn perustaja Eugene Kaspersky paljasti Telegraphille. "Skywiperissä on 100 kertaa enemmän koodia kuin tavanomaisessa tietoja vakoilevassa viruksessa", tutkija Roel Schouwenberg puolestaan kertoo Globe and Mailille.
Ovelaa toimintaa vuosien ajan
Lisäksi Skywiper/Flame on voinut vakoilla jo 5-8 vuoden ajan, F-Securen tutkimusjohtaja Mikko Hyppönen kommentoi Twitterissä.
“Jos löytämiseen on mennyt viisi vuotta, ainoa looginen päätelmä on, että maailmalla on meneillään muitakin tällaisia operaatioita, joista me emme tiedä mitään", Schouwenberg kommentoi Globe and Mailin mukaan.
BBC:n mukaan vakoiluohjelman uskotaan vakoilleen ainakin vuodesta 2010.
Vakoiluohjelma on toiminut uniikilla, ovelalla tavalla. Sen sijaan, että se leviäisi tavallisten ohjelmatiedostojen käyttämässä exe-tiedostomuodossa, se on levinnyt ocx-tiedostomuodossa, koska McAfeen virustorjuntasovellusta lukuunottamatta yksikään tietoturvayhtiö ei yleensä skannaa ocx-tiedostoja, Hyppönen twiittaa. Ja kun Skywiper/Flame havaitsee, että tietokoneella on McAfeen virustorjuntaohjelma, sen binäärit tallennetaan järjestelmään väliaikaistiedostoihin viittaavassa tmp-tiedostomuodossa.
Ei siis aiheuta toimenpiteitä täällä.
Ilmoituksesi käsitellään seuraavan työpäivän kuluessa.