Flamen olemus muistuttaa Stuxnet-hyökkäystä - kiinnostuksen kohdekin oli sama

Luetuimmat

    Näytä lisää
    Julkaistu (Päivitetty )

    Jari Heikkilä

    jari.heikkila(at)mtv.fi

    Asiantuntijoiden mukaan hiljattain julkisuuteen nousseen massiivisen Flame-haittaohjelman tarkoituksena oli haalia Iranista teknisiä suunnitelmia. Tietoturvayhtiö Kaspersky Labin analyysin mukaan valtaosa Flamen kohteista sijaitsi juuri Iranissa.

    Hyökkäyksen takana olleet tahot olivat käyttäneet monimutkaisia väärennettyjä identiteettejä luodakseen haittaohjelmaa levittäviä verkkotunnuksia.

    Britannian yleisradioyhtiö BBC kertoo teknologiasivuillaan, että Flame saattoi kerätä tietoja useiden vuosien ajan, sillä väärennetyillä identiteeteillä oli rekisteröity verkkotunnuksia jo vuodesta 2008 lähtien.

    Tutkijoiden mukaan hyökkääjiä kiinnostivat erittäin paljon AutoCad -piirrokset sekä PDF- ja tekstitiedostot.

    - Hyökkääjät etsivät suunnitelmia mekaanisista ja sähköisistä laitteista, toteaa Surreyn yliopiston tietokoneasiantuntija professori Alan Woodward BBC:lle.

    Woodwardin mukaan todennäköisimmin kyseessä oli tiedustelutietojen hankkiminen.

    Myös Yhdysvalloissa ja paikoitellen Euroopassa havaittiin kyseistä haittaohjelmaa, mutta tutkijoiden mukaan tämä ei välttämättä tarkoita, että kyseiset maat olisivat olleet hyökkäyksen kohteina.

    Hyökkäysten alkulähde on edelleen tuntematon.

    Samankaltaisuuksia Stuxnet-haittaohjelman kanssa

    Flamea on verrattu Stuxnet-vakoiluhyökkäykseen. Tuoreen paljastuskirjan väitteiden mukaan Stuxnet oli presidentti Barack Obaman valtuuttama kyberhyökkäys Iranin ydinohjelmaa vastaan.

    Kaspersky Labin mukaan Flamen ja Stuxnetin maantieteellinen levinneisyys on hyvin samankaltainen. Yhtiön mukaan hyökkääjät voivat olla eri tahoja, mutta kiinnostuksen kohteet olivat samoja.

    Flame naamioitui Microsoftin taakse

    Flame-haittaohjelman osia oli väärennetty siten, että ne näyttivät Microsoftin tuottamilta.

    Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI kertoo sivuillaan, että Flamen komponentit käyttivät hyväksi Microsoftin Terminal Services -palveluiden varmenteisiin liittyviä heikkouksia. Varmenteilla oli mahdollista allekirjoittaa ohjelmakoodia Microsoftin nimissä.

    Microsoft on julkaissut päivityksen, jossa kolme varmennetta siirretään ei-luotettujen varmenteiden säilöön.

    CERT-FI -sivuilla todetaan, että päivitys kannattaa asentaa Windows-käyttöjärjestelmiin nopeasti, sillä varmenteita voidaan käyttää myös minkä tahansa muun ohjelmakoodin allekirjoittamiseen.

    Lue myös:

      Uusimmat