Skoči na vsebino

Že tretji kiber-udarec Iranu

Iranski CERTCC je objavil vest, da so identificirali nov napredni virus Flamer (alias sKyWiper), ki ga protivirusni programi še ne zaznajo. Po Stuxnet in Duqu je to že tretji zlonamerni program, ki ima za tarčo sisteme v Iranu.

Stuxnet je poleti 2010 ciljal na nadzorne sisteme centrifug za bogatenje urana v Iranu in jih preko nadzornega sistema poskusil mehansko poškodovati. Duqu (včasih imenovan tudi “sin Stuxneta” zaradi podobnosti programske kode) leta 2011 ni bil tako destruktiven in je bil namenjen zbiranju informacij sistemov za nadzor industrijskih procesov, ter kraji certifikatov in zasebnih ključev z okuženih sistemov. Po pisanju iranskega CERTCC pa se Flamer širi preko USB ključev in lokalnih omrežij, zna prestrezati omrežni promet in zbira različne podatke iz okuženih sistemov, te pa pošlje na nadzorne strežnike.

Analizo je opravil tudi CrySys Lab, Laboratorij za kriptografijo in varnost sistemov Oddelka za telekomunikacije Univerze za tehnologijo in ekonomijo v Budimpešti. Sami so program poimenovali sKyWiper (na podlagi končnic začasnih datotek, ki jih ustvari) in o njem objavili obsežno poročilo. Iz analize je razvidno, da gre za napreden program, ki uporablja več načinov šifriranja in zakrivanja kode, podatke pa si hrani v podrobno strukturiranu SQLite bazi. Po mnenju CrySys tima zbiranje informacij iz okuženega omrežja še nikoli ni bilo tako skrbno izpeljano v zlonamernem programu.

Bolj ali manj je jasno, da gre za orodje, ki je del programa t.i. kiber-vojskovanja in je bil razvit v vladni službi ene od držav, ki so v dolgoletnem sporu z Iranom. O tem, kako uspešno je Flamer/sKyWiper opravil svojo nalogo priča tudi ugotovitev, da je verjetno neovirano deloval kar več let: od pet do celo osem. To pomeni, da ga vsekakor lahko uvrstimo nekje na vrh v kategoriji ciljanih naprednih in dolgotrajnih groženj (APT, Advanced Persistent Threat).

Sedaj tudi protivirusna podjetja dodajajo zaznavo zanj, F-Secure pa kot zanimivost še navaja razliko v pristopu med Kitajsko in zahodnimi državami: če Kitajska kot vektor napada uporablja lažna elektronska sporočila z “miniranimi” pripetimi dokumenti, Zahod uporablja ciljane vdore in USB ključe za širitev zlonamerne kode.

Preberite tudi

Lažna elektronska sporočila v imenu SURS ciljajo slovenska podjetja

Na SI-CERT-u smo v zadnjih dneh zaznali kampanjo lažnih elektronskih sporočil, v katerih se napadalci predstavljajo kot Statistični urad Republike Slovenije (SURS). Sporočila so namenjena predvsem podjetjem ter organizacijam, zlasti …
Več

Srečanje ALiEnS-SOC konzorcija

Konzorcij projekta ALiEnS-SOC se je 9. junija 2026 zbral na svojem drugem plenarnem srečanju v Ljubljani. Srečanje je gostil projektni partner Smartis v Kristalni palači, udeležili pa so se ga …
Več

Konzorcij projekta INTERCEPT pred dosego ključnega mejnika

Projekt INTERCEPT vstopa v pomembno fazo izvajanja. Konec junija 2026 bo projekt uradno dosegel svojo prelomnico, saj je že na polovici izvajanja, kar predstavlja pomemben mejnik vsakega evropskega projekta. Ta …
Več