Autora vírusu Flame možno nikdy nespoznáme

Ani dva ro­ky po pos­led­nej veľ­kej hroz­be, ví­ru­se Stuxnet, sa ne­po­da­ri­lo od­ha­liť je­ho tvor­cov, ho­ci dô­ka­zy naz­na­ču­jú, že je­ho auto­ri mô­žu byť kry­tí vlá­dou USA a Irá­nu. Pre­to je otáz­ka, či nie­ke­dy od­ha­lí­me auto­rov no­vé­ho oh­ro­ze­nia.

Čas­ti ví­ru­su Fla­me sa pod­ľa Bol­diz­sá­ra Ben­csát­ha z Tech­nic­kej uni­ver­zi­ty v Bu­da­peš­ti ob­ja­vi­li on-li­ne už v ro­ku 2004. For­mál­ne však ne­bol iden­ti­fi­ko­va­ný, až kým fir­ma Kas­per­sky Lab z Mos­kvy ne­zis­ti­la, že zma­zá­va úda­je v stov­kách po­čí­ta­čov na Stred­nom vý­cho­de. Naj­viac pos­tih­nu­té kra­ji­ny bo­li Irán a Iz­rael, v Irá­ne ví­rus nak­rát­ko na­ru­šil rop­ný prie­my­sel.

Kas­per­sky 28. má­ja od­ha­lil prí­či­nu: „tri v jed­nom" - ap­li­ká­ciu čer­va, trój­ske­ho ko­ňa aj bac­kdoo­ru, kto­ré ozna­čil ako Fla­me. Ide o vzdia­le­ne prog­ra­mo­va­teľ­né­ho zlo­de­ja úda­jov, kto­rý do­ká­že zís­kať, pre­ná­šať a ma­zať sú­bo­ry. Je­ho jad­ro má 6 MB a do­ká­že si stiah­nuť mo­du­ly, kým sa ne­roz­ší­ri na veľ­kosť 20 MB, čo je dosť veľ­ký po­ten­ciál na mno­hé škod­li­vé tri­ky. Pod­ľa exper­tov je prav­de­po­dob­né, že väč­ši­nu svo­jich čin­nos­tí vy­ko­ná­va s cie­ľom špio­ná­že. Do­ká­že nap­rík­lad za­pnúť mik­ro­fón a po­čú­vať, o čom sa roz­prá­va­te.

Na­vy­še je ne­ná­pad­ný. Irán­sky krí­zo­vý tím pre po­čí­ta­čo­vú bez­peč­nosť vy­hlá­sil, že škod­li­vé čas­ti kó­du ne­za­chy­til ani je­den zo 43 anti­ví­ru­so­vých prog­ra­mov. „Stuxnet, Duqu a Fla­me sú prík­la­dom zly­ha­nia anti­ví­ru­so­vé­ho prie­mys­lu," mys­lí si Mik­ko Hyp­po­nen, za­kla­da­teľ anti­ví­ru­so­vej spo­loč­nos­ti F-Se­cu­re. A kým sa fir­my za­obe­ra­jú ana­lý­zou svoj­ho zly­ha­nia, uka­zu­je sa, že je tak­mer ne­mož­né od­ha­liť auto­ra ví­ru­su.

Útoč­ní­ci mô­žu uk­rý­vať svo­je sto­py po­sie­la­ním prí­ka­zov cez množ­stvo server­ov tak, aby ich ne­naš­li. Pri via­ce­rých bo­doch spo­je­nia je tak­mer ne­mož­né od­ha­liť pá­cha­te­ľa. Vy­šet­ro­va­nie vás väč­ši­nou pri­ve­die k po­čí­ta­ču, kto­rý je úpl­ne prázd­ny.

Vy­šet­ro­va­te­lia mu­sia dú­fať, že útoč­ní­ci spra­via chy­bu. Ďal­šou po­môc­kou mô­že byť št­ýl prog­ra­mo­va­nia, spô­sob ozna­čo­va­nia sú­bo­rov, pod­ľa kto­rých sa da­jú iden­ti­fi­ko­vať „zná­me fir­my". Chy­ba prog­ra­má­to­ra od­ha­li­la aj exis­ten­ciu Stuxne­tu.

Zdroj: eQuark

Prečítajte si tiež:

Anti­ví­ru­so­vé prog­ra­my sú čas­to zle nas­ta­ve­né (pred 8 mesiacmi)

Pries­kum: Kto­ré anti­ví­ru­sy sú naj­pou­ží­va­nej­šie? (pred 10 mesiacmi)

Test: 10× vý­kon­ný mul­ti­me­diál­ny no­te­book (pred rokom)