Cyber-ketju: verkkovakoilu,kännyköiden ja wlanien seuranta, hakkerointi, virukset, DoS etc

OldSkool

Kapteeni
Laitetaanpas uutinen keskusteltavaksi tällaiseen uuteen ketjuun, koska maanantain uutisessa on maanpuolustuksellisesti sellainen mielenkiintoinen vinkkeli, että vakoiluohjelma on viranomaisen tekemä/teettämä, ja asia on tunnustettu.

Siis: http://www.mikropc.net/kaikki_uutiset/valtion+tekemaksi+epailty+quotstar+wars+vakoiluohjelmaquot+tallentaa+kayttajan+nappainpainallukset+ja+nettipuhelut/a700457 kirjoittaa että
Valtion tekemäksi epäilty "Star Wars -vakoiluohjelma" tallentaa käyttäjän näppäinpainallukset ja nettipuhelut. Saksalainen hakkerijoukko Chaos Computer Club on löytänyt käyttäjien toimia vakoilevan haittaohjelman, jonka vahvasti epäillään olevan Saksan valtion tekemä.

Vakoiluohjelma tallentaa käyttäjän näppäilyt esimerkiksi nettiselaimessa ja pikaviestimissä, CCC:n julkaisemassa pdf-tiedostossa (saksaksi) varoitetaan. Lisäksi haittaohjelma osaa tallentaa ruudulla näkyvät tiedot sekä vakoilla käyttäjää tietokoneen mikrofonin avulla. Haittaohjelma voi siis esimerkiksi nauhoittaa Skype-puhelut.

Tähän tuli sitten vahvistus tänään http://www.mikropc.net/kaikki_uutiset/saksa+tunnusti+kayttavansa+skypetroijalaista/a701401?s=by_tivi , että
Baijerin osavaltion viranomaiset tunnustivat maanantaina käyttäneensä vakoiluohjelmaa vuodesta 2009 lähtien, Deutsche Welle kirjoittaa.
Baijerin sisäministeri Joachim Herrmann ilmoitti myöhään maanantaina lähetetyssä tiedotteessa, että asiassa oli toimittu lain puitteissa. Saksalaiset poliitikot ja tietoturva-asiantuntijat ovat epäilleet ohjelman rikkovan maan lakeja.
Herrmann lupasi selvityksen ohjelman toiminnasta ja laillisuudesta.
<snip>
Hakkeriyhteisön mukaan troijalainen oli myös suunniteltu heikosti, mikä mahdollisti kolmansien osapuolten eli verkkorikollistenkin käyttävän sitä.

F-Securen Hyyppönen kertoi mielenkiintoisen asian tuon ekan artikkelin lopussa:
Kaikki virustorjujat eivät välttämättä tunnista - tarkoituksella - valtioiden vakoiluohjelmia. Kun FBI:n ja NSA:n huhuttiin tehneen Magic Lantern -nimellä tunnetun vakoiluohjelman, yhdysvaltalaiset tietoturvayhtiöt antoivat ymmärtää päästävänsä vakoiluohjelman virustorjujansa ohitse - tietoisesti.

Eli laittakaapa foliohatut syvemmälle päähän, joku voi hyvinkin tarkkailla tietokonettasi.
 
OldSkool kirjoitti:
Eli laittakaapa foliohatut syvemmälle päähän, joku voi hyvinkin tarkkailla tietokonettasi.

...ja usein on kätevää ja tehokasta tarkkailla ihan vaan sitä tietoliikennettä. Toki jos kohteella on enemmän osaamista, koneen tasalla on enemmän pelimahdollisuuksia.

Hurjimmissa jutuissa on jopa katsottu silmällä ikkunasta sisään kun asunnossa on tehty pahoja.

Toivottavasti kukaan ei kuvittele etteikö julkisissa tietoverkoissa kulkeva liikenne olisi säännönmukaisen tarkkailun kohteena. Ei välttämättä täällä lintukodossa... Mutta minne ne sinun bittisi kulkivatkaan kotikoneelta lähtiessä?

Sitten se uutinen vakoiluohjelmasta... Edellinen case joka omalle kohdalle sattui oli ihan perinteinen näppäilyjen tallentaja, fyysinen sellainen. Oli livautettu eräässä asiakaspalvelutilassa sijaitsevan koneen näppäimistön liittimen eteen. Ilmeisesti tarkoituksena oli kerätä koneella käytettyjen Internet-palvelujen tunnistautumistietoja. Nyt odotellaan lisäkameroiden kanssa sitä että asentaja tulee hakemaan saalistaan. Ikävää arkea.
 
No jos jokuviranomainen mun tietoja kalastelee niin siinäpähän tekee. Helpommalla pääsis kun tuli pyytämään ihan että sais suoraan istathtaa koneelle ja katsoa mitä siellä on. Säästyis ehkä muutama veroeurokin siinä.
 
Suomi valmistautuu kybersodankäyntiin

http://www.hs.fi/kotimaa/Suomi+valmistautuu+kybersodank%C3%A4yntiin/a1305547028395

Suomi suunnittelee käyttävänsä verkkoviruksia, verkkomatoja ja muita haittaohjelmia osana tietoverkkopuolustustaan.
Puolustusministeriön kansliapäällikkö Arto Räty sanoo, ettei Suomi voi rakentaa tehokasta tietoverkkopuolustusta,
jos ei samalla ole kykyä toimia verkkohyökkääjänä.

Puolustusministeriössä valmistellaan paraikaa kansallista kyberturvallisuusstrategiaa yhdessä muiden hallinnonalojen kanssa.
Rädyn mukaan siinä pitää määritellä, miten Suomi voi toimia hyökkääjänä.

Verkkohyökkäyksiin kykenevät jo useat valtiot. Esimerkiksi Yhdysvallat perusti viime vuonna verkkosotaa johtavan ja kehittävän osaston, Cyber Commandin.

Tunnetuin todennäköisesti jonkin valtion rakentama kyberase on Stuxnet-mato, joka tunkeutui Iranin ydinlaitokseen Natanzissa kaksi vuotta sitten.
Sen tavoitteena lienee ollut hidastaa Iranin ydinohjelmaa.

Suomen tietoturvaviranomaisen CERT-FI:n päällikkö Erka Koivunen sanoo, että verkkohyökkäyskyvyn rakentamista on sievistelty turhaan:
joissain tilanteissa hyökkäys on paras puolustus.

"Keskustelu menee ihan tarpeettomasti siihen, että ketä vastaan aiotte hyökätä. Ei ketään. Me haluamme puolustaa omaa maata."

Suomessa armeija perusti viime kesänä oman tietoverkkopuolustussektorin.
Sen johtaja Catharina Candolin kaipaa keskustelua Suomen verkkopuolustuksesta ja mahdollisista hyökkäyskyvyistä:

"Ei se voi olla tabu. Kehitetään iskukykyä. Kybermaailmassa se tarkoittaisi, että Suomella olisi kyky myös tehdä palvelunestohyökkäyksiä tai haittaohjelmia."
 
vehamala kirjoitti:
Puolustusministeriössä valmistellaan paraikaa kansallista kyberturvallisuusstrategiaa yhdessä muiden hallinnonalojen kanssa.
Rädyn mukaan siinä pitää määritellä, miten Suomi voi toimia hyökkääjänä.

Maailma odottaa henkeä pidätellen valtion uusinta IT-hanketta. Eiköhän tähän saada taas ainakin miljoona palamaan.

Entäs jos PV ostaisi kasan tietokoneita, muutaman laatikollisen kolaa ja kutsuisi täältä vapaaehtoisia vois vaikka olla tuloksena jotain vaikka sitä ei keksittäiskään firman sisällä?
 
Sinänsä uutinen on mielestäni positiivinen, mutta se mikä hämää jutussa on toimittajan teksti.

"Suomessa armeija perusti viime kesänä oman tietoverkkopuolustussektorin."

Eikö toimittaja tiedä, että Suomessa on puolustusvoimat, ei armeija. Piene juttu, mutta tulee mieleen minkälainen on tuonkin toimittajan ymmärrys tai tieto maanpuollustuksesta. Vastaavaa kielen käyttöä toki näkee usein.
 
Officials in the Obama administration considered launching a cyber offensive against Libya’s computer networks last March as part of the NATO-led air strikes against the Qaddafi regime.

The cyberattack would have involved breaking through the firewalls protecting Libyan computer networks in order to disrupt military communications and thwart early-warning radar systems that would detect planes coming in for a strike.

The officials and military officers ultimately decided against the plan out of fear that it would set a precedent for other nations to use similar techniques, according to the New York Times. There were also unresolved questions about whether President Obama had the power to approve such an attack without first informing Congress, and whether there was sufficient time to conduct digital reconnaissance and write the attack code that would have been required to pull off such an attack.

Weeks later, there was talk of using similar techniques to thwart Pakistani radar when U.S. Navy Seals were preparing to launch a kill-mission against former al Qaeda leader Osama bin Laden, who had been hiding out in a compound in Pakistan that was surrounded – some say protected – by Pakistani military troops. In the Pakistan case, the administration nixed the idea again, opting instead to use specially modified helicopters designed to evade radar detection.

“These cybercapabilities are still like the Ferrari that you keep in the garage and only take out for the big race and not just for a run around town, unless nothing else can get you there,” an unidentified Obama administration official told the Times.

Had the computer-network attack against Libya gone ahead, administration officials told the Times they were confident the attack code could have been contained within Libya’s networks and not spread to other networks to cause collateral damage.

Such questions have become central to cyberwarfare discussions in the wake of the Stuxnet computer worm – a piece of malware that was launched in 2009 against computers in Iran to disrupt that country’s uranium enrichment program.

Stuxnet spread beyond the targeted systems, however, infecting more than 100,000 computers throughout Iran, India, Indonesia and elsewhere. Because the worm was skillfully crafted to affect only systems operating at one of Iran’s nuclear enrichment plants, it did not harm the other systems it infected. http://www.wired.com/threatlevel/2011/10/us-considered-hacking-libya/
 
Wüest is one of the experts at Symantec, who is currently analyzing the source code behind Duqu. Symantec says it was alerted to the new threat on October 14 by a laboratory that has “international connections.”

Since then, Symantec’s investigations suggest that a “few hundred systems have been infected at a handful of companies,” many of which are in Europe.

Another IT security firm, McAfee, is also working on the virus. McAfee and Symantec both believe that Duqu shares strong similarities with the Stuxnet virus.

Some of its source code matches that of Stuxnet and because the Stuxnet code is not known to be available online, they say it is likely that Duqu was created by the same people or that they sold the code to another group. While it remains unclear where Stuxnet came from, the New York Times reported in January 2011 that Stuxnet was developed by the American and Israeli governments.

But there are significant differences as well between Duqu and Stuxnet.

“Duqu is not spreading like Stuxnet,” said Wüest, “Duqu was carefully placed and can be controlled remotely.”

Experts believe that Duqu has been used to target only a limited number of organizations for the specific assets.

“Its warhead is not aimed at the technology industry, it’s being used to steal information, so it’s more like industrial espionage,” Wüest added. http://www.dw-world.de/dw/article/0,,15478105,00.html
 
Päivitelläänpäs tänne viime viikkojen uutisia. Ensin Duqu ja Hesarin uutinen otsikolla Salaperäinen vakoiluohjelma Duqu ällistyttää tietoverkoissa
Duqu kerää tietoja järjestelmästä, johon se on päässyt ujuttautumaan. Tiedot se lähettää ulkopuoliselle ohjauspalvelimelle. Tällainen palvelin on löytynyt Intiasta. Duqun levinneisyydestä ei ole tarkkoja tietoja. Duqussa on itsetuhomekanismi, joka hävittää ohjelman 36 päivän kuluttua toiminnan aloittamisesta. Tietoturvayhtiö Symantecin raportin mukaan Duqun tehtävä on kerätä tietoja ja valmistella hyökkäystä teollisuusautomaatioita käyttäviin yrityksiin tai laitoksiin.
Tuohan täyttää sissien tiedustelujoukkueen tunnuspiirteet, sikäli että - ihan kuten sissit- tiedusteluohjelma suorittaa asetettua kohdennettua havainnointitehtävää, toimii huomaamatta ja kun poistuu paikalta, ei jää jälkiä .

Ja sitten vielä samantapainen uutinen Poison Ivystä, Tietoviikon uutinen otsikolla Vakava uusi hyökkäs: haittaohjelma vakoili myös Tanskassa joka oli myös kohdennettu ja toimi rajoitetun ajan
Eilen julkaistussa raportissa Symantecin tutkijat paljastavat selville saadut yksityiskohdat sekä Nitroksi nimetystä hyökkäyksestä että siinä hyödynnetystä haittaohjelmasta.
<snip>
Symantec arvioi, ettei Nitro kaikesta huolimatta yllä hyökkäyksen kehittyneisyydessä samalle tasolle kuin Iranin voimalaitoksiin suunnattu Stuxnet. Yhteneväisyyksiä muihin vakaviin tietoturvahyökkäyksiin Nitrosta kuitenkin löytyy: kohteiden tarkka valinta.
Haittaohjelma ujutettiin tarkkaan valikoiduille Windows-tietokoneille, joiden omistajat haksahtivat sähköpostitse lähetettyyn ansaan. Viesti oli puettu näyttämään tunnetulta liikekumppanilta saapuneelta kokouspyynnöltä tai joissakin tapauksissa Adoben Flash-soittimen päivitykseltä. Kun käyttäjä avasi viestin, hän tietämättään asensi Poison Ivy -haittaohjelman yrityksen tietokoneille. Tämän jälkeen hyökkääjät kykenivät antamaan ohjeita koneille ja urkkimaan esimerkiksi yrityssalaisuuksia vartioivien palvelinten salasanoja.
<snip>
Haittaohjelman jäljet johtavat Kiinaan. Symantec onnistui tällä kertaa jopa ottamaan yhteyttä henkilöön, joka omisti yhden palvelimista, joilla yrityksiin ujutettua Poison Ivy -haittaohjelmaa hallittiin. Tietoturvayhtiö ei kuitenkaan tästäkään huolimatta pystynyt arvioimaan, toimiko henkilö yksin vai kuuluiko hän johonkin krakkeriryhmittymään tai oliko toimeksianto tullut peräti valtiolta.
 
Ja vielä yksi. Tietokone-lehden uutinen otsikolla Hyökkääjät murtautuivat USA:n satelliitteihin
Ennakkotietoja (Yhdysvaltojen kongressin komitean raportista) on vuodettu esimerkiksi uutistoimisto Bloombergille. Raportin mukaan hyökkääjät pääsivät useita kertoja käsiksi kahteen Yhdysvaltojen satelliittiin. Hyökkäykset tapahtuivat vuosina 2007 ja 2008.

Toinen satelliiteista on maan kuvaamiseen käytetty Landsat-7. Hakkerit olivat satelliitin järjestelmissä 12 minuuttia lokakuussa 2007 ja heinäkuussa 2008. Vuoden 2008 kesä- ja lokakuussa hakkerit iskivät myös Terra AM-1-satelliittiin, joka tutkii esimerkiksi maan ilmakehää.
Raportissa ei kerrota tarkemmin, mitä toimia hyökkääjät tekivät satelliiteissa.

Hyökkäykset tehtiin Norjan kautta. Satelliittien ohjaamisessa hyödynnetään Huippuvuorilla sijaitsevaa kaupallista satelliittiasemaa, jonka järjestelmät on kytketty internetiin. Hyökkääjät pääsivät ilmeisesti käsiksi näihin järjestelmiin ja sitä kautta suoraan satelliitteihin.

Kongressin raportissa todetaan, että vaikka tällä kertaa kohteena ei ollut kovin arkaluonteista tietoa, hyökkäykset ovat huolestuttavia. Tulevaisuudessa hyökkääjät saattaisivat iskeä tärkeämpiin kohteisiin ja aiheuttaa niille jopa vahinkoa.
Raportissa epäillään, että hyökkäysten takana ovat kiinalaiset, mahdollisesti jopa Kiinan armeija tai sen tukemat henkilöt. Kongressin tietojen mukaan Kiinan armeijan nettistrategiaan kuuluu myös muiden maiden avaruusjärjestelmien häirintä ja hallinta. Tähän kuuluvat erityisesti satelliittien maa-asemien ohjausjärjestelmät. Todisteita Kiinan osallisuudesta ei kuitenkaan esitetä. Yhdysvallat on aiemmin syyttänyt Kiinaa lukuisista vakavista nettihyökkäyksistä ja nettivakoilusta. Kiina kiistää väitteet.

Ei tässä kuitenkaan hakkeroitu sotilassatelliitteja, mutta eiköhän jokainen satelliitti ole sen verran kallis projekti ja monipolvinen suunnittelu- ja operointivaiheiltaan, että hallintajärjestelmät ei ole todellakaan suojaamattomia. Siispä pikkuisen karmivaa että hakkerointi on onistunut. Lieneekö seurausta siitä, että satelliittien tietoturva on suunniteltu >5v sitten, ja tietoturva ei tällaisissa erikoisjärjestlemissä vaan parane sitä vauhtia kun uhkat kasvaa? Olisikohan vastaava haaste sotilasjärjestelmissä? Voisiko tässä olla yksi syy ohjelmistoradiolle, saako sen tietoturvaa päivitettyä joustavasti?
 
Japan has been developing a virus that could track down the source of a cyber attack and neutralise its programme, the daily Yomiuri Shimbun reported Sunday.

The weapon is the culmination of a 179 million yen ($2.3 million) three-year project entrusted by the government to technology maker Fujitsu Ltd to develop a virus and equipment to monitor and analyse attacks http://www.spacedaily.com/reports/Japan_developing_cyber_weapon_report_999.html
 
Eikös juuri tuommoinen virus tehty Terminator 3:ssa tuhoamaan toinen virus...paska mäihä, että se virus, joka tehtiin, olikin Skynet joka tuhosi kyllä toisen viruksen, mutta samalla otti koko netin ja tietokoneet hallintaansa...
 
Hymyilyttää, kun kolme merenalaista verkkokaapelia meni alas yhtäaikaa, ja syylliseksi väitetään laivan ankkuria väärässä paikassa. Samanlaillahan 2008 kaksi kaapelia meni rikki paikassa, missä Egypti myöhemmin totesi olevan ilman minkäänlaista laivaliikennettä tapahtuma hetkellä, mutta silti ne maagiset ankkurit rikkovat paikkoja. Jos haluatte lukea pitkähkön artikkelin, niin katselkaa tätä, http://www.sott.net/articles/show/242414-Undersea-Internet-Cables-Cut-AGAIN-

Ei mulla muuta.
 
Mobility - a Nation under Siege (Israelin aikaansaannokset 2006 F-16:illa "strategisin pommituksin")
ctg kirjoitti:
Samanlaillahan 2008 kaksi kaapelia meni rikki paikassa, missä Egypti myöhemmin totesi olevan ilman minkäänlaista laivaliikennettä tapahtuma hetkellä, mutta silti ne maagiset ankkurit rikkovat paikkoja. Jos haluatte lukea pitkähkön artikkelin, niin katselkaa tätä, http://www.sott.net/articles/show/242414-Undersea-Internet-Cables-Cut-AGAIN-Ei mulla muuta.

No aivan oikeasti ei "länsikään" sodi tietoliikenneyhteyksiä vastaan tietokoneviruksilla, vaan kyllä sekin käyttää venäläisäisiä menetelmiä ja rikkoo mekaanisesti paikkoja.

Se, että sotimista aletaan hienosäätämään siionistiselle tasolle Stux-madoiksi tietää tiliä F-Securen Risto Siilasmaalle ja muille osakkaille, mutta vain oikeasti viestintäinfrastruktuuri tuhotaan mekaanisesti tulenkäytöllä alkaen televisio- ja matkapuhelinmastoista ja jatkaen kaapeleihin.

Suomessa on jopa paikkoja, josta on lehdissäkin ilmoitettu, miten laajalta alueelta sähköt katkeavat, kun isketään johonkin.

Kun ei ole sähköä, eivät sähköiset viestimetkään toimi, vaan ajaudustaan aggregaattikauteen, jolloin sähkö maksaa nelinkertaisesti ja kyky tuottaa sähköä on murto-osa tavanomaisesta.
 
(Reuters) - Security experts said on Monday a highly sophisticated computer virus is infecting computers in Iran and other Middle East countries and may have been deployed at least five years ago to engage in state-sponsored cyber espionage.

Evidence suggest that the virus, dubbed Flame, may have been built on behalf of the same nation or nations that commissioned the Stuxnet worm that attacked Iran's nuclear program in 2010, according to Kaspersky Lab, the Russian cyber security software maker that took credit for discovering the infections.

Kaspersky researchers said they have yet to determine whether Flame had a specific mission like Stuxnet, and declined to say who they think built it.

Iran has accused the United States and Israel of deploying Stuxnet.

Cyber security experts said the discovery publicly demonstrates what experts privy to classified information have long known: that nations have been using pieces of malicious computer code as weapons to promote their security interests for several years.

"This is one of many, many campaigns that happen all the time and never make it into the public domain," said Alexander Klimburg, a cyber security expert at the Austrian Institute for International Affairs.

A cyber security agency in Iran said on its English website that Flame bore a "close relation" to Stuxnet, the notorious computer worm that attacked that country's nuclear program in 2010 and is the first publicly known example of a cyber weapon.

Iran's National Computer Emergency Response Team also said Flame might be linked to recent cyber attacks that officials in Tehran have said were responsible for massive data losses on some Iranian computer systems.

Kaspersky Lab said it discovered Flame after a U.N. telecommunications agency asked it to analyze data on malicious software across the Middle East in search of the data-wiping virus reported by Iran.

STUXNET CONNECTION

Experts at Kaspersky Lab and Hungary's Laboratory of Cryptography and System Security who have spent weeks studying Flame said they have yet to find any evidence that it can attack infrastructure, delete data or inflict other physical damage.

Yet they said they are in the early stages of their investigations and that they may discover other purposes beyond data theft. It took researchers months to determine the key mysteries behind Stuxnet, including the purpose of modules used to attack a uranium enrichment facility at Natanz, Iran.

If Kaspersky's findings are validated, Flame could go down in history as the third major cyber weapon uncovered after Stuxnet and its data-stealing cousin Duqu, named after the Star Wars villain.

The Moscow-based company is controlled by Russian malware researcher Eugene Kaspersky. It gained notoriety after solving several mysteries surrounding Stuxnet and Duqu.

Officials with Symantec Corp and Intel Corp McAfee security division, the top 2 makers of anti-virus software, said they were studying Flame.

"It seems to be more complex than Duqu but it's too early to tell its place in history," said Dave Marcus, director of advanced research and threat intelligence with McAfee.

Symantec Security Response manager Vikram Thakur said that his company's experts believed there was a "high" probability that Flame was among the most complex pieces of malicious software ever discovered.

At least one rival of Kaspersky expressed skepticism.

Privately held Webroot said its automatic virus-scanning engines detected Flame in December 2007, but that it did not pay much attention because the code was not particularly menacing.

That is partly because it was easy to discover and remove, said Webroot Vice President Joe Jaroch. "There are many more dangerous threats out there today," he said.

MAPPING IT OUT

Kaspersky's research shows the largest number of infected machines are in Iran, followed by Israel and the Palestinian territories, then Sudan and Syria.

The virus contains about 20 times as much code as Stuxnet, which caused centrifuges to fail at the Iranian enrichment facility it attacked. It has about 100 times as much code as a typical virus designed to steal financial information, said Kaspersky Lab senior researcher Roel Schouwenberg.

Flame can gather data files, remotely change settings on computers, turn on PC microphones to record conversations, take screen shots and log instant messaging chats.

Kaspersky Lab said Flame and Stuxnet appear to infect machines by exploiting the same flaw in the Windows operating system and that both viruses employ a similar way of spreading.

That means the teams that built Stuxnet and Duqu might have had access to the same technology as the team that built Flame, Schouwenberg said.

He said that a nation state would have the capability to build such a sophisticated tool, but declined to comment on which countries might do so.

The question of who built flame is sure to become a hot topic in the security community as well as the diplomatic world.

There is some controversy over who was behind Stuxnet and Duqu. Some experts suspect the United States and Israel, a view that was laid out in a January 2011 New York Times report that said it came from a joint program begun around 2004 to undermine what they say are Iran's efforts to build a bomb.

The U.S. Defense Department, CIA, State Department, National Security Agency, and U.S. Cyber Command declined to comment.

Hungarian researcher Boldizsar Bencsath, whose Laboratory of Cryptography and Systems Security first discovered Duqu, said his analysis shows that Flame may have been active for at least five years and perhaps eight years or more.

That implies it was active long before Stuxnet.

"It's huge and overly complex, which makes me think it's a first-generation data gathering tool," said Neil Fisher, vice president for global security solutions at Unisys Corp. "We are going to find more of these things over time."

Others said cyber weapons technology has inevitably advanced since Flame was built.

"The scary thing for me is: if this is what they were capable of five years ago, I can only think what they are developing now," Mohan Koo, managing director of British-based Dtex Systems cyber security company.

Some experts speculated that the discovery of the virus may have dealt a psychological blow to its victims, on top of whatever damage Flame may have already inflicted to their computers.

"If a government initiated the attack it might not care that the attack was discovered," said Klimburg of the Austrian Institute for International Affairs. "The psychological effect of the penetration could be nearly as profitable as the intelligence gathered."
 
Kiitokset ctg:lle uutisesta ja ensimmäisestä lainauksesta. Kokoan ja lisään tähän eri lähteistä (linkki 1 linkki 2 linkki 3 linkki 4) napattuja yksityiskohtia - mielestäni aika huikeita.

  • Flame-virus on laitettu liikkeelle ehkä viisi (5) vuotta sitten, mahdollisesti vähän enemmänkin.
  • Flame-virus on levinnyt rajatulle alueelle, varmoja havaintoja ilmeisesti vain Iran (189), Israel ja Palestiina (89), Sudan (32), Syyria (30), Libanon (18), Saudi-Arabia (10), Egypti (5), mutta arvio on että tartuntoja on 1000-5000 tietokoneeseen.
  • Iranista tiedotetaan, että Flame-virus on läpäissyt 43 erilaista anti-virus -ohjelmaa.
  • Flame-virus on kooltaan noin 20 megatavua, yli 20-kertaisesti Stuxnet:iin verrattuna, ja sen kunnolliseen selvittämiseen arvioidaan menevän vuosia.
  • Flame-virus näyttäisi pystyvän keräämään tiedostoja, keräämään verkossa liikkuvia käyttäjätunnuksia ja salasana-hasheja, etäohjatusti muuttamaan tietokoneen asetuksia, laittamaan jopa bluetooth-mikrofoneja päälle puheen äänittämiseksi, ottamaan ruutukaappauksia toistuvasti, riippuen ruudulla olevasta ohjelmasta (esim sähköpostista usein) ja tallentamaan pikaviestikeskusteluja, ja välittämään keräämäänsä tietoa SSL-salattuna "toimeksiantajan" palvelimille, noin 80:een palvelimeen (euroopassa, aasiassa, pohjois-amerikassa).
  • Flame-viruksessa on takaovi, jota kautta sitä ilmeisesti voidaan muokata leviämisen aikana.
  • Flame-viruksessa on noin kuuden megatavun "alkupaukku", joka purkaa itsensä ja lataa loput. Noin kaksikymmentä toiminnallista plug-in moduulia, joita voidaan vaihdella tarpeen mukaan.
  • Flame-viruksen arvioidaan olleen aktiivisessa toiminnassa maaliskuusta 2010 lähtien ... yli kaksi vuotta siis ainakin.
  • Flame-viruksessa ei ole "lopettamispäiväystä" vaan siihen kuuluu killer-moduuli, jonka avulla hyökkääjä voi poistaa kohdekoneesta "kaikki jäljet" virustartunnasta.
  • Flame-virus on pystynyt murtautumaan esim täysin ajan tasalle päivitettyyn Windows 7 -koneeseen, joka tarkoittaa, että Viruksella on tiedossa takaovi tai nollapäivähaavoittuvuus, jota ei ole suljettu.
  • Flame-virus ei leviä itsestään vaan hyökkääjän on laitettava hyökkäys päälle.
  • On ristiriitaista tietoa Flamen yhteneväisyydestä Stuxnet:iin ja DuQu:un. Yhteisiä rakenteita ei ehkä ole kovin paljoa, mutta kaikki kolme hyödyntävät kahta keskeistä haavoittuvuutta: USB-muistitikun "autorun" ja ".lnk" sekä print spooler.
  • Flamen monimutkaisuus ja tekninen toiminta antavat vaikutelman, että toimeksiantajan on oltava suuri, mahdollisesti valtiotaustainen.

Jos tuollaisia tiedustelun taidonnäytteitä on pantu liikenteeseen 5-8v sitten, niin mitähän tänään jaellaan? Eipä tarvi kuvitella, että "yksi isoveli valvoo" ... kohta on useita kohdennettuja automaattivalvontoja päällä. Koettakaa pitää huolta tietosuojasta. Laajasti käsitettynä.
 
OldSkool kirjoitti:
<snip>
  • On ristiriitaista tietoa Flamen yhteneväisyydestä Stuxnet:iin ja DuQu:un. Yhteisiä rakenteita ei ehkä ole kovin paljoa, mutta kaikki kolme hyödyntävät kahta keskeistä haavoittuvuutta: USB-muistitikun "autorun" ja ".lnk" sekä print spooler.
  • Flamen monimutkaisuus ja tekninen toiminta antavat vaikutelman, että toimeksiantajan on oltava suuri, mahdollisesti valtiotaustainen.

F-scecuren blogissa http://www.f-secure.com/weblog/archives/00002372.html myös eppäillään että taustalla täytynee olla kansallisvaltio ja puolustusalihankkija.
What was Flame designed for?
Information gathering. And not just data from the computer, but also conversations and chats, contacts — intelligence.
Who made Flame?
Well, it isn't designed for profit. It is too big and "complex" to have been designed by "hackers". So that leaves us with a nation state.
What nation made Flame?
It's evident that significant resources went into crafting Flame. Given that, we think a better question is what defense contractor developed Flame.

Lisäksi Mikko Hyyppönen on twiitannut esimerkin defense contractorin työhönhaku-ilmoituksesta (linkki ei toimi ainakaan minulla, vaatiiko loginin tai lieneekö poistettu...):
Northrop Grumman is seeking a "Cyber Software Engineer" to execute "An Offensive Cyberspace Operation Mission". Hmm... http://clearancejobs.com/jobs/1536410/cyber-software-engineer-2
 
Using our forensic tool, we have indeed verified that a chosen-prefix collision attack against MD5 has been used for Flame. More interestingly, the results have shown that not our published chosen-prefix collision attack was used, but an entirely new and unknown variant. Therefore it is not unreasonable to assume that the particular chosen-prefix collision attack variant underlying Flame had already been in development before June 2009. This has led to our conclusion that the design of Flame is partly based on world-class cryptanalysis. http://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware
 
Flamesta vielä: israel_ja_usa_kehittivat_flamen_israel_mokasi kirjoittaa taustoista että
Flamen tarkoitus oli valmistaa tietä Stuxnetille ja muille iskuille. Flamen paljastumisesta syytetään Israelia.
Washington Post kertoo, että se on saanut tietoa länsimaisilta viranomaislähteiltä, joilla on tietoa hankkeesta. Lähteiden mukaan Flamen tarkoitus oli vakoilla Iranin tietokonejärjestelmiä. Flame lähetti Yhdysvaltoihin jatkuvaa datavirtaa, jonka avulla pystyttiin valmistautumaan sabotaasi-iskuihin.
Sabotaasia tehtiinkin Stuxnetin avulla. Se rakennettiin hajottamaan Iranin ydinohjelman sentrifugeja, jotka rikastavat uraania (Paljastuskirja: "Obama määräsi Stuxnet-iskut Iraniin").
Washington Postin lähteiden mukaan kyseessä on jo vuosia jatkunut nettioperaatio Irania vastaan. Se on käynnissä tälläkin hetkellä. Flame ja Stuxnet olivat projektin yksittäisiä työkaluja, mutta niitä on käytössä todennäköisesti muitakin.

Washington Postin lähteet syyttävät viruksen paljastumisesta Israelia. Se käytti Flamea iranilaisia öljy-yhtiöitä vastaan tavalla, josta Yhdysvallat ei ollut tietoinen. Öljy-yhtiöiden tietokoneisiin tuli ongelmia, jolloin Iran palkkasi venäläisiä ja unkarilaisia asiantuntijoita tutkimaan asiaa. Tämä johti koko Flame-operaation paljastumiseen.

ja flame_nettiase_hammastyttavia_ominaisuuksia kertoo tekniikasta että
Hyppönen toteaa, että Flame varastaa tietoa näppäimistöltä, ruudulta ja monista erilaisista tiedostoista. Jotta dataa ei tulisi liikaa, siitä kerätään suodattimien avulla haluttua tietoa. Flame tekee tietokoneelle paikallisen SQLLite-tietokannan, johon tiedot tallennetaan. Sieltä tietoa lähetetään hyökkääjälle.
Flame osaa salakuunnella tietokoneen mikrofonia. Kuuntelu tallennetaan äänitiedostoksi ja lähetetään hyökkääjille.
Tietokoneesta ja verkosta etsitään myös valokuvia. Flame osaa ottaa niistä talteen gps-paikannustiedot, jotka lähetetään ohjelman tekijöille.
Flame tarkistaa, onko uhrikoneeseen yhdistetty matkapuhelimia bluetooth-yhteydellä. Jos on, puhelimen osoitekirja ladataan koneelle ja lähetetään hyökkääjille.
Tietoja pystytään välittämään takaisin hyökkääjille, vaikka uhrikone ei ole yhteydessä internetiin. Siinä tapauksessa Flame saastuttaa koneeseen kytkettyjä usb-muistitikkuja. Kun ne viedään toiseen koneeseen, jossa on nettiyhteys, haittaohjelma aktivoituu ja lähettää tiedot eteenpäin.
Monimutkainen leviämistapa
Hämmästyttävää on myös Flamen leviämistapa verkoissa. Haittaohjelma tekee oman välityspalvelimen, joka kaappaa Windows Update -päivitysjärjestelmän liikennettä lähiverkossa.
Windowsin tarkistusten ohi päästään väärennetyillä sertifikaateilla. Hyökkääjät keksivät kavalan tavan käyttää Microsoft Terminal Server -lisenssien sertifikaatteja.
Uudemmat Windowsit eivät mene tähän lankaan. Niinpä hyökkääjät kehittivät aivan uudenlaisen tavan tehdä monimutkaisia salaustekniikan hyökkäyksiä. Siihen tarvittiin huippuluokan salaustekniikan asiantuntijoita ("Flame-iskun tekijöissä oli huippuluokan tiedemiehiä"). Hyppösen mukaan työhön tarvittiin myös supertietokonetta.
 
Olen töissäni joutunut tuunaamaan juuri niitä variable-frequency drive -ohjelmia jollaisiin Stuxnet hyökkäsi. Kyllä sinne pystyy piilottamaan sellaisia juttuja, että mitään ei huomaa äänestä tai mittareista tai lämmöistä, mutta ulos tulee varmaa sutta. Ne ohjelmat ovat aika avoimia.
 
Back
Top