Šéf Check Point: Nemyslím si, že by za virem Flame stál Mosad

Flame

Flame Zdroj: Kaspersky

E15.cz z Berlína: Počítače v Íránu, Palestině, Súdánu, Egyptě, Sýrii a Saudské Arábii napadl malware, který svojí komplexitou nemá obdoby. Podle mnohých vyjádření a náznaků byl škodlivý kód tajně sponzorován některou z vlád, která tak díky kybernetické špionáži mohla získávat citlivá data, a navazuje na své předchůdce jako Stuxnet a DuQu.

Nalezený malware je označován jménem Flame (Worm.Win32.Flame) a jeho hlavním úkolem je sbírat data všemi dostupnými způsoby. Kromě klasického dolování údajů na lokálních pevných discích v počítačích zvládá i mnoho pokročilejších úkolů – například zapnout mikrofon a nahrávat komunikaci přes Skype nebo zvuky z blízkého okolí počítače. Zároveň se může pomocí bluetooth připojovat k dalším zařízení v dosahu a získávat informace třeba z mobilních telefonů. Umí v pravidelných intervalech snímat obrazovku a monitorovat údery na klávesnici.

Flame má tu vlastnost, že je možné ho na dálku smazat a uživatel pak zpětně nepozná, že se jeho stroj stal cílem útoku a sloužil ke sbírání citlivých informací. Kód se přitom nespouští automaticky hned po infiltraci do počítače, ale může „vyčkávat“ na vzdálené povely. Podle aktuálních dostupných údajů byl Flame aktivní od roku 2010, na počítačích už ale mohl být usídlený mnohem déle.

Neobvykle účinný, neobvykle veliký

„Je to jeden z nejvíce sofistikovaných útoků v historii,“ řekl v Berlíně v rozhovoru pro E15.cz výkonný šéf izraelské bezpečnostní společnosti Check Point Gil Shwed. „Flame dokázal skvěle skloubit několik známých technologií do jednoho funkčního balíčku.“ Škodlivý program se skládá ze základního jádra, pomocí něhož je možné na dálku doinstalovat další moduly. Pokud se tak stane, Flame nabobtná až do velikosti 20 megabajtů. Stuxnet přitom měl pouze pár stovek kilobajtů.

Vzhledem k velikosti bude velice složité celou aplikaci i s moduly analyzovat. Podrobný rozbor mnohonásobně menšího Stuxnetu zabral více než půl roku a bezpečnostní odborníci se už dnes shodují, že analýza Flame může trvat i několik let.

Odborníci a veřejnost se nicméně v současné době ptají, proč Flame zasáhl především stovky strojů na Středním východě a v části severní Afriky. „Oblast nákazy škodlivým kódem a jeho komplexita nenechávají pochyby o tom, že vývoj byl sponzorován některou z vlád,“ píše ve svém prohlášení ruská společnost Kaspersky Lab, která na Flame upozornila. Tuto domněnku potvrzují také někteří další výzkumníci. „Výsledky našeho technického rozboru podporují hypotézu, že tento program byl vyvinutý ve spolupráci státních orgánů,“ tvrdí ve zprávě maďarská laboratoř CrySyS.

Do případných aktivit evropské unie se rádi zapojíme. Prezident izraelské společnosti Check Point Amnon Bar-Lev.Do případných aktivit evropské unie se rádi zapojíme. Prezident izraelské společnosti Check Point Amnon Bar-Lev. | Jan Sedlak

Cílem kybernetické špionáže měl být především íránský jaderný program, jenž se podařilo zpomalit díky již zmiňovaným kódům Stuxnetu a DuQu. Mezi největší kandidáty na „sponzory“ Flame patří Spojené státy a Izrael, kterým Teherán a jeho aktivity vadí nejvíce a kteří stáli i za zmiňovanými předchůdci nového objevu. Napadány měly být také instituce spojené s ropným průmyslem.

Kybernetická válka

Jasné důkazy chybí, místopředseda izraelské vlády Moše Jálon však vydal prohlášení, ve kterém říká, že kdokoliv se cítí být ohrožen Íránem, je oprávněn ho zastavit jakýmikoliv prostředky, včetně kybernetických nástrojů. Izrael i Amerika jsou navíc země s nejvyspělejším vývojem v oblasti informačních technologií.

„Nevíme, kdo Flame napsal,“ říká v rozhovoru Gil Shwed z Check Pointu, který stejně jako mnoho jeho kolegů dříve působil v izraelské armádě. „Nemyslím si, že by to byl Mosad, ale to nevíme. Možná je to vláda, možná ne.“ Stejně jako jiní odborníci z branže nicméně poukazuje na to, že vývoj takového sofistikovaného škodlivého kódu musel být finančně hodně náročný.

Do analýzy Flame už se pouští několik bezpečnostních společností. I když je největší ohnisko výskytu zejména v muslimských zemích, začínají se objevovat také první nakažení z Rakouska, Hongkongu nebo Ruska.

První analýza strojů, které Flame zasáhl. Objevovat se už začínají také lokality v Evropě a Hongkongu.První analýza strojů, které Flame zasáhl. Objevovat se už začínají také lokality v Evropě a Hongkongu. | Jan Sedlak

Otázkou je, jak těmto nákazám ve firmách a institucích předcházet. „Správné nástroje, nastavení a bezpečnostní politika umožní předejít 99 procentům hrozeb,“ tvrdí šéf telavivské společnosti, která své bezpečnostní moduly kombinující serverový hardware a připravený software dodává největším společnostem a vládám do celého světa. Stejně jako mnozí další lidé z oboru i Shwed upozorňuje na to, že samotné kvalitní bezpečnostní nástroje nestačí, ale je nutné důsledně dodržovat zvolenou strategii a pravidla.

Kolektivní bezpečnostní inteligence

Flame nicméně několik let spokojeně brouzdal celosvětovou sítí a žádné nástroje ho neodhalily, až nyní. Dlouhou dobu trvá odhalit i jiné a ne tak sofistikované útoky. Zhruba 85 procent z nich analytické laboratoře bezpečnostních společností odhalí během několika týdnů i delší doby. A situaci nevylepšuje ani to, že zákazníci těchto bezpečnostních firem hlásí podezřelá vniknutí do jejich sítí a počítačů odděleně.

Check Point proto vytvořil službu nazvanou ThreatCloud. Jakmile jeden z jeho zákazníků nahlásí škodlivý kód nebo jiný pokus o útok, Check Point tento popis začlení do jednotné databáze v rámci ThreatCloudu a aktualizované údaje se okamžitě promítnou také ostatním zákazníkům. Vzniká tak určitá kolektivní inteligence a na různé hrozby je možné reagovat mnohem rychleji.

To je však na úrovni produktů pouze od jedné společnosti. S podobným projektem chce přijít také Evropská komise, která navrhuje, že s pomocí odborníků stanoví pravidla pro kybernetickou bezpečnost. Ty pak bude muset respektovat soukromý sektor, jenž se na odhalování útoků má podílet a vzájemně spolupracovat.

„Samozřejmě je možné spekulovat o tom, jestli by stát měl takové věci řídit. Zda by měl například do jisté míry kontrolovat internet, který má být ze své podstaty otevřený,“ spekuluje v salónku jednoho z berlínských hotelů prezident Check Pointu Amnon Bar-Lev. „Nicméně pokud se objeví další bezpečnostní vrstva, může to být k dobru věci a rádi se k takové spolupráci připojíme.“

Hackeři jsou často velice dobře organizování a dokážou spolu výborně spolupracovat. V kontrastu s tím stojí různé firmy a společnosti s omezenými rozpočty, které často s hackery nezvládnou držet krok. Spolupráce na druhé straně barikády by se proto mohla jevit jako funkční řešení.

Výdaje na kybernetickou bezpečnost každoročně rostou. V loňském roce se v této oblasti protočilo 17,7 miliardy dolarů, což je o více než 7 procent více, než v roce 2010, kdy se utratilo 16,4 miliardy dolarů. Malware od roku 2007 narostlo o 600 procent a bezpečnost se potýká také s novými oblastmi – například .