Hazánkat is támadta a most lebukott kiberfegyver

2012.05.29. 13:29

Éveken át üzemelt a biztonsági szakemberek és a víruskereső szoftverek elől is tökéletesen elbújva a Skywiper nevű számítógépes szuperkártevő. A nemrég felfedezett vírus mögött nem csak online bűnözők, hanem valószínűleg egy teljes ország áll, mert a magyar PC-ket is megfertőző program olyan hatékonyan tud adatokat gyűjteni a PC-kről, mint egy rendőrségi szakértő. A kártékony kódot  Budapesti Műszaki Egyetem kiberbiztonsági laborjának kutatói elemezték, amelynek vezetője szerint az iráni cégekkel való kapcsolattartás miatt kerülhettek magyar gépek a program célkeresztjébe.

A Budapesti Műszaki és Gazdaságtudományi Egyetem (BME) CrySys nevű it-biztonsági laborjának vizsgálata szerint a Skywiper (más cégek szerint Flamer) nevű kártevő a legjobban rejtőzködő adatlopó kód, amellyel eddig találkoztak. A szoftver hosszú listát tartalmaz azokról a fájlokról és folyamatokról, amelyekhez nem szabad hozzányúlnia, és annak függvényében állítja be magát, hogy milyen vírusirtó található a rendszeren. Az adattolvaj szupervírus egyik részegységét még 2007-ben fedezték fel Európában, más moduljai 2008-ban az Egyesült Arab Emirátusokban, 2010-ben pedig iráni gépeken tűntek fel, legalábbis az előzetes vizsgálatok szerint.

Iráni kapcsolat miatt kerülhettek célkeresztbe a magyar PC-k

Az iráni és egyesült arab emirátusbeli észlelések mellett - az F-secure dossziéja szerint - a Skywipert Libanonban, Szíriában és Szudánban is észlelték. Dr. Bencsáth Boldizsár, a BME CrySys laborjának vezetője az [origo] kérdésére elmondta, hogy Magyarországon legalább tíz számítógépen észlelték a Skywipert. Bencsáth szerint azért kerülhettek fel a magyar PC-k a célpontok listájára, mert több olyan ipari vállalat van, amely kapcsolatban állhat Iránnal vagy egyéb arab országokkal. Elképzelhető, hogy vagy vas- vagy vegyipari gyártórendszerekkel foglalkozó hazai vagy magyar leányvállalattal is rendelkező cége PC-it támadták meg.

Forrás: Northfoto

A Skywiper rendkívül sokoldalú kód, bármilyen adatot képes gyűjteni - magyarázta el Bencsáth. A teljes gép minden adatát is el tudja lopni, de van lehetőség különböző szűrők beiktatására is. Még nem bizonyított, de valószínű, hogy tud úgy keresni a fájlok közt, hogy csak az adott földrajzi koordinátákkal címkézett fotókat találja meg, ami segíthet információkat szerezni egy adott ipari létesítményről. A Skywiper olyan modulokkal is bővíthető, amelyek a gép mikrofonján keresztül rögzítik a közelben zajló beszélgetéseket, lementik a billentyűzetleütéseket, vagy képernyőmentéseket készítenek.

Az egyetemi kutatók vizsgálatai szerint a Skywiper több magyar számítógépet is megfertőzött, ám arról, hogy ezek hol működtek, arról sem a BME CrySys laborja, sem a kártevővel foglalkozó többi cég nem közölt információt. A Symantec kiberbiztonsági cég ismertetője szerint a kártevő több otthoni számítógépet is megfertőzött, és egyelőre nem lehet látni, hogy pontosan milyen cégek ellen indították az adattolvaj támadást. A szakértők dolgát nehezíti, hogy a megfelelő paranccsal törölhető a Skywiper, a kártevő minden összegyűjtött adattal és alrendszerrel együtt képes megsemmisíteni magát.

A kiberháború mesterlövészei

A CrySys labor által korábban elemzett Duqu kártevőhöz hasonlóan, a Skywiper is célzott informatikai támadások végrehajtására szolgál. Míg a hagyományos vírusok és trójai kártevők az internetes harc sörétes puskájaként minél több célpontra tüzelnek, a tömeget veszik célba, addig a valóban komoly kiberháborús eszközök mesterlövészpuskaként működnek. A több százezer dollár értékű, addig teljesen ismeretlen támadókódot tartalmazó Stuxnet néven elhíresült kódot például az iráni atomprogram ellen fejlesztették ki: olyan támadást hajtott végre, amely csak az arab ország egyik atomerőművének urándúsítói berendezésének hatékony működését akadályozta teljes titokban.

A BME biztonsági laborjának jelentése szerint az új célzott kártevő nem abból a vírusgyárból került ki, ahonnan a rokoni szálak által összefűzött Duqu és a Stuxnet. Az viszont bizonyosnak tűnik, hogy a Skywiper kifejlesztése mögött is komoly anyagi forrásokkal rendelkező nemzetállam kormányügynöksége állhat. A sejtést megjelenik az F-secure kiberbiztonsági cég Skywiper dossziéjában is, amely szerint egy nyugati kormányügynökséget lehet a kiberfegyver gazdja. A jelentés szerint elképzelhető, hogy az új kiberfegyver megrendelője azonos a két korábbi kódéval, és csak a program írói nem azonosak.

Kérdéses a folytatás

A BME CrySys laborja nemzetközi együttműködés keretében jutott hozzá a Skywiper kódjához, azzal a céllal, hogy a kártevő fő moduljait és működési módját felderítse. A cél nem a teljes elemzés volt, mert a Skywiper létrehozása mögött nemzeti érdekek állhattak, és jelenleg nincs olyan világszintű megállapodás, amely a kiberfegyverek elemzéséről szól. Az ilyen kártevőket részletesen vizsgáló kutatócsoportok akár célponttá is válhatnak egy-egy ilyen ügy kapcsán, ez indokolja a Skywiper körüli titoktartást is.

A magyar labor jelentése alapján azonban bármelyik laboratórium elindulhat: a kártevő által használt titkosításokról készült leírások, a tömörítési eljárások és a fájlok ismertetése elegendő alap a további elemzéshez. Az várhatóan nem derül ki, hogy ki áll a Skywiper mögött - a korábban felfedezett kiberfegyverek esetében is csak tippek vannak arra, ki lehetett a megrendeőlő. A felfedezett támadások azonban közelebb visznek ahhoz, hogy egyszer elkészülhessen a kiberháború szabályzata.