Flamer/sKyWIper – egy újabb veszélyes kiberfegyver bukkant fel


2012. május 29. 09:17

Az Iráni Nemzeti CERT (MAHER) a 2010-ben kezdett nyomozását követően – amely a Stuxnet és Duqu nevű kártevőket vizsgálta – az elmúlt hónapokban egy korábban ismeretlen malware került fókuszba. A MAHER és a Kaspersky Lab által Flamer-nek, a Budapesti Műszaki és Gazdaságtudományi Egyetemen működő CrySys Labor  által pedig sKyWIper-nek nevezett trójait nemrégiben fedezték fel. A malware számos modult használ a káros tevékenységének elvégzésére. A jelenlegi ismeretek alapján 43 modul létezik, amelyek lehetővé teszik a rendkívül széles skálán való működést:

  • hálózat figyelés, hálózat felderítés, sérülékeny jelszavak gyűjtése
  • a fertőzött rendszerek lemezeit átvizsgálja meghatározott programok és egyéb tartalmak után kutatva
  • képernyőmentéseket készít, amikor bizonyos folyamatok vagy ablakok aktívak
  • a számítógéphez csatlakoztatott mikrofonnal fel tudja venni a környezetben elhangzott zajokat
  • a mentett adatokat az irányító szerverekre menti
  • tíznél több C&C szervert azonosítottak
  • SSH és HTTPS protokollok segítségével kapcsolódik a C&C szerverekhez
  • megkerüli a széles körben használt víruskeresőket és egyéb biztonsági szoftvereket
  • Windows XP, Vista és Windows 7 operációs rendszereket támad
  • képes nagyméretű helyi hálózatokat megfertőzni

A fájlok elnevezése, a terjedési módszerek, az összetettség, a konkrét cél kiválasztás és a nagyszámú funkciók alapján az iráni szakemberek feltételezik, hogy közeli kapcsolat áll fenn a Stuxnet/Duqu által támadott célpontokkal.

A Symantec jelentése alapján a malware Közép-Európában és a Közel-Keleten terjedt el legnagyobb mértékben.

MAHER jelentés: http://www.certcc.ir/index.php?name=news&file=article&sid=1894

CrySys: http://www.crysys.hu/skywiper/skywiper.pdf

Symantec: http://www.symantec.com/connect/blogs/flamer-highly-sophisticated-and-discreet-threat-targets-middle-east

https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
http://www.bbc.com/news/technology-18238326
http://www.wired.com/threatlevel/2012/05/flame/
http://af.reuters.com/article/commoditiesNews/idAFL1E8GS00B20120528?pageNumber=3virtualBrandChannel=0
http://buhera.blog.hu/2012/05/28/flamer_skywiper?utm_source=twitterfeed&utm_medium=twitter
http://itcafe.hu/hir/crysy_lab_skywiper_virus_duqu.html

Címkék

Flamer cyber attack sKyWIper

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »