Szkodliwy program Flame - analiza

Przeczytaj także: Nowy szkodliwy program Gauss

Czy jest to atak sponsorowany przez jakieś państwo? Czy może został zainicjowany przez grupę cyberprzestępczą lub haktywistów?

Obecnie w teatrze cyberwojennym istnieją trzy znane klasy graczy, którzy rozwijają malware i spyware: haktywiści, cyberprzestępcy oraz rządy państw. Flame nie został zaprojektowany do wykradania pieniędzy z kont bankowych. Różni się również od dość prostych narzędzi hakerskich i złośliwego oprogramowania, wykorzystywanego przez haktywistów. Tak więc, wykluczając haktywistów i cyberprzestępców, dochodzimy do wniosku, że Flame powstał z inicjatywy trzeciej klasy graczy. Dodatkowo, rozkład celów szkodnika (państwa znajdujące się na Bliskim Wschodzie), a także złożoność zagrożenia, nie pozostawiają wątpliwości, że jakieś państwo sponsoruje badania owocujące rozwojem Flame'a.

Kto jest za to odpowiedzialny?

Brak jest informacji, które pomogłyby powiązać Flame'a z rządem konkretnego państwa. A więc, tak jak w przypadku Stuxneta i Duqu, autorzy pozostają nieznani.

Dlaczego oni to robią?

Aby systematycznie gromadzić informacje dotyczące działań niektórych państw na Bliskim Wschodzie, takich jak Iran, Liban, Syria, Izrael itd. Oto mapa siedmiu krajów najbardziej dotkniętych infekcją:

Czy broń o nazwie Flame jest wymierzona w określone organizacje z zamiarem gromadzenia specyficznych informacji, które mogłyby zostać użyte w przyszłych atakach? Jakiego rodzaju danych i informacji szukają napastnicy?

Ze wstępnej analizy wynika, że operatorzy Flame'a poszukują dowolnego typu informacji - wiadomości e-mail, dokumentów, notatek, dyskusji w newralgicznych miejscach. Słowem - wszystkiego. Nie zaobserwowaliśmy żadnych konkretnych oznak wskazujących na szczególny cel, na przykład z branży energetycznej - co każe nam wierzyć, że Flame to kompletny zestaw narzędzi przeznaczony do ogólnych aktów cyberszpiegostwa.

Oczywiście, jak obserwowaliśmy w przeszłości, modułowe złośliwe oprogramowanie może być wykorzystane do wdrożenia poszczególnych składników, które mogą atakować urządzenia SCADA, ICS, krytyczne punkty infrastruktury itd.