Kratka istorija malware-a | Peti deo: Neka rat počne


Download Article as PDF


Stigli smo i do poslednjeg posta u seriji o istoriji malware-a. Prošli smo početke, pozabavili se onim šta se desilo kad je izašao windows, pozabavili smo se makro virusima, mail crvima, mrežnim crvima, rootkitovima i najzad je došlo vreme da se pozabavimo najkompleksnijim malware-om do sad viđenim. Ovih nekoliko malware-a, koje ćemo opisati su se pojavili u poslednjih nekoliko godina i gotovo u potpunosti promenili malware arenu. Naravno reč je Stuxnet-u, DoQu i Flame-u. Krenimo redom.

 

Stuxnet je prvi od supervirusa koji ćemo opisati. Otkriven je u junu 2010. godine, međutim kada je otkriven došlo se do spoznaje da je malware u opticaju već bar godinu dana, a da nije detektovan. U trenutku kada je otkriven stuxnet je već obavio ono za šta je bio namenjen. Njegova namena, veruje se, je bila da uspori ili uništi Iranski nuklearni program. Stuxnet je to radio tako što je fizički sabotirao uz pomoć menjanja frekvencija turbine za obogaćivanje uranijuma. Takođe, ovo je radio na vrlo prefinjen način. Kopirao se sa računara na računar uz pomoć USB stick-a. Nije pomagalo ukoliko je isključen autorun ili autoplay, ukoliko bi se zaraženi USB ubacio u računar, računar bi bio zaražen. Ni jedan antivirus nije bio sposoban da ga otkrije. Koristio je rootkit osobinu da se sakrije na zaraženoj mašini i ne bi radio ništa osim kopirao sebe na sve USB stickove koji se ubace u računar. Za ulaz u računar bi koristio 5 exploit-a, od kojih 4 u vreme otkrivanja su bili 0-day exploiti. Aktivirao bi svoje rutine samo ukoliko bi računar bio priključen na određeni Siemens Step 7 kontroler i računar služio za programiranje kontrolera. Takođe ni tad ne bi radio ništa pametno, opet ukoliko taj kontroler ne bi bio priključen na tačno određen sistem. U takvom slučaju krenuo bi da menja frekvencije rada, a repreogramirao bi alate za automatsko reagovanje, tako da njima izgleda, kao da sistem radi savršeno dobro. Sadržao je i validan sertifikat, koji kada je black listovan u roku od dan je bio zamenjen drugim validnim sertifikatom. Imao je death date 24. jun 2012., kada bi sve instance Stuxneta sebe ubili i prestale da postoje. Veruje se da je ovaj malware, kao i ostali o kojima pišem u ovom postu kreirani od strane obaveštajnih agencija Sjedinjenih Američkih Država i Izraela. Zvaničnici ovih država nikad nisu ni potvrdili ni demantovali ove tvrdnje. Za još informacija možete pogledati sledeća 2 videa:

[youtube=http://www.youtube.com/watch?v=gFzadFI7sco]

Ralph Langner: Cracking Stuxnet, a 21st-century cyber weapon

DoQu je malware, koji je imao sličnu bazu koda kao i Stuxnet, tako da se predpostavlja da potiču iz istog izvora, odnosno od istog kreatora. Takođe se povezuju operacije Stuxnet sa operacijom DoQu. DoQu je koristio iste ranjivosti kao i Stuxnet, međutim imao je drugačiju namenu. Njegova namena je bila pribavljanje informacija, odnosno špijuniranje zaraženih mašina. Napisan je u višim programskim jezicima. Naime, većina malware-a je pisano u niskim jezicima poput asemblera, C, eventualno C++, ili nekog skript jezika poput Python, Lua i sl. DoQu je napisan u objektno orijentisanom C i veruje se da je korišćen Visual Studio 2008 za njegovo kompajliranje.

 

Flame je najkompleksniji malware koji se do danas pojavio. Pojavio se u 2012. godini i najviše računara je bilo zaraženo na bliskom istoku, pa se sa razlogom takođe smatra da je nastao u obaveštajnim agencijama SAD i Izraela. Ovo je modularan malware, koji udaljeno može da kontroliše napadač i da dodaje nove module. Sa svim modulima mogao je da dostigne veličinu i do 20MB. Flame je mogao da se širi preko USB-a ili preko mreže. Koristio je rootkit sposobnost da se sakrije na sistemu. Imao je mogućnost da snima audio, video, skype pozive, mrežnu aktivnost, krade fajlove i šalje sve to napadaču. U trenutku kada su antivirusne kompanije pribavile samplove za analizu Flame malware-a poslata je komanda koja je uništila sve inkarnacije ovog malwar-a.  Flame je napisan u Lua i C++, kao i Flame  i DoQu i on je imao validan ukraden sertifikat. Na slici je prikazan broj detektovanih zaraženih računara flame-om, detektovanim od strane Kaspersky laboratorija

Flame-Infection-Map_Kaspersky

Pojavom ovakvog malware-a kao što je Stuxnet, DoQu ili pak Flame, promenio se dosta način na koji pojimamo malware. U prvoj etapi egzibicionizam je bio pokretač pravljenja malwara. U narednoj etapi pojavila se zarada, kao motiv koji su mnogi iskoristili za pravljenje malwara. Naravno ova zarada je dolazila na ilegalan način. U ovom trenutku, kao i u budućnosti na malware možemo posmatrati kao na oružje. Ovo oružje će imati svakako dvostruku namenu, jedna je špijunaža, a druga je masovno uništenje i paraliza. Živimo u svetu gde sve više stvari zavisi od računara i kontrolisani su različitim računarima. Taj trend se nastavlja i u budućnosti možemo očekivat još više sistema da se upravlja pomoću računara. Samim tim razorna moć malware-a raste i potrebno je paziti na sigurnost svih tih sistema.

 

 

 

 

 

Born in Bratislava, Slovakia, lived in Belgrade, Serbia, now living in Manchester, UK, and visitng the world. Nikola is a great enthusiast of AI, natural language processing, machine learning, web application security, open source, mobile and web technologies. Looking forward to create future. Nikola has done PhD in natural language processing and machine learning at the University of Manchester where he worked for 2 years. In 2020, Nikola moved to Berlin and works in Bayer Pharma R&D as a computational scientist.

Leave a Reply

Your email address will not be published. Required fields are marked *