Hỏi đáp thường gặp: Flame, “Siêu gián điệp”

FAQ: Flame, the "super spy"

31 May 2012, 13:33, by Jürgen Schmidt

Theo: http://www.h-online.com/security/features/FAQ-Flame-the-super-spy-1587063.html

Bài được đưa lên Internet ngày: 31/05/2012

Sâu gián điệp Flame đang được xem như một “vũ khí không gian mạng (KGM) chết người”, nhưng một phân tích bình tĩnh hơn phát hiện nó sẽ là một công cụ của các chuyên gia dành cho các chuyên gia mà không thực sự có nhiều tính năng so sánh được để, nói, với trojan ngân hàng trực tuyến rộng khắp như Zeus.

The spyware worm Flame is being billed as a "deadly cyber weapon", but a calmer analysis reveals it to be a tool by professionals for professionals that doesn't actually have that many new features compared to, say, the widespread online-banking trojan Zeus.

Lời người dịch: Lại một virus khủng mới được phát hiện, có tên là Flame, hoặc Flamer và sKyWIper. Nó được đánh giá là “Siêu gián điệp không gian mạng”, tấn công có chủ đích, có chọn lọc chứ không phải loại thông thường. Phần mềm gián điệp này chủ yếu để nắm bắt nhiều dạng thông tin khác nhau. “Nó không chỉ có thể ăn cắp các tệp và các thư điện tử từ các máy tính bị lây nhiễm, mà còn biến chúng thành các thiết bị ghi âm và trinh sát có sử dụng các micro và webcam được kết nối. Nó cũng có khả năng ghi lại các màn hình, bàn phím và giao thông mạng”. “Chương trình phần mềm gián điệp này đường như đã được sử dụng nhiều năm mà không bị phát hiện, và cho tới khi bị phát hiện, không chương trình chống virus duy nhất nào nhận biết được phần mềm độc hại này. Tình trạng này chỉ cho thấy một lần nữa các phần mềm chống virus không phù hợp như thế nào cho việc dò tìm các hệ thống chống lại các cuộc tấn công có chủ đích. Các phần mềm chống virus tập trung vào việc dò tìm các máy tính chống lại sự lan truyền, không phần biệt các phần mềm độc hại và hầu hết là vô dụng chống lại các phần mềm chuyên dụng như Flame”.

Flame là gì?

Flame là tên mã cho một chương trình phần mềm gián điệp được xây dựng theo module và cũng được biết tới như là Flamer và sKyWIper. Flame từng chỉ được phát hiện gần đây, và nó là có trước khi tất cả các thành phần của nó được phân tích. Các công ty phần mềm chống virus đánh giá rằng Flame đã lây nhiễm khoảng 1.000 máy tính, chủ yếu ở Trung Đông.

Flame làm gì?

Phần mềm gián điệp này chủ yếu để nắm bắt nhiều dạng thông tin khác nhau. Nó không chỉ có thể ăn cắp các tệp và các thư điện tử từ các máy tính bị lây nhiễm, mà còn biến chúng thành các thiết bị ghi âm và trinh sát có sử dụng các micro và webcam được kết nối. Nó cũng có khả năng ghi lại các màn hình, bàn phím và giao thông mạng.

Nhưng tất cả những thứ đó đã là tiêu chuẩn cho nhiều phần mềm độc hại rồi. Liệu nó có thứ gì đó mới hay không?

Một tính năng không bình thường là Flame có khả năng kết nối với các thiết bị Bluetooth trong khu vực. Còn chưa rõ chính xác điều gì xảy ra trong trường hợp này, nhưng có khả năng là các bộ tai nghe có thể được sử dụng để gián điệp hoặc là các ảnh chụp có thể bị ăn cắp từ các điện thoại thông minh. Phân tích nhiều hơn là cần thiết để tìm ra các chi tiết hơn nữa.

Một tính năng độc nhất vô nhị khác là trình biên dịch LUA được đưa vào, mà có thể được sử dụng để dễ dàng mở rộng chức năng của phần mềm gián điệp với các scripts.

What is Flame?

Flame is the code name for a spyware program that is built to be very modular and which is also known as Flamer and sKyWIper. Flame was just recently discovered, and it will be some time before all of its components are analysed. Anti-virus software companies estimate that Flame has infected about 1,000 computers, mostly in the Middle East.

What does Flame do?

The spyware specialises in getting hold of many different types of information. Not only can it steal files and emails from infected computers, but it can also turn them into bugging and surveillance devices using connected microphones and webcams. It is also able to record screenshots, keystrokes, and network traffic.

But all of that is already standard for a lot of malware. Does it have anything new?

One unusual feature is that Flame is able to connect with Bluetooth devices in the area. It's not clear yet what exactly happens in this case, but it's possible that headsets could be used for spying or that photos could be stolen from smartphones. Machines infected with Flame seem to also be able to broadcast as Bluetooth devices that offer services. More analysis is necessary to uncover further details.

Another unique feature is the LUA interpreter that is included, which can be used to easily extend the functionality of the spyware with scripts.

A modular concept, sophisticated spying features – we've already seen that with Zeus and SpyEye. How is Flame different from those online-banking trojan kits?

Flame hoàn toàn chờ các lệnh trước khi nó gây lây nhiễm cho các máy tính khác

Flame explicitly waits for orders before it infects other computers
Source: Kaspersky Lab

Flame khác biệt với các bộ trojan ngân hàng trực tuyến khác như thế nào?

Không giống như các trojan ngân hàng, các cá nhân đứng đằng sau chương trình này không quan tâm trong việc lan truyền nó xa và nhanh nhất có thể - hoàn toàn ngược lại, trong thực tế. Theo chúng tôi được biết tới lúc này, sâu này đã không cố gắng tự mình lan truyền, và nếu một phân tích ban đầu đã không đi với bất kỳ thứ gì hữu dụng trong hệ thống, thì Flame thậm chí có thể bị xóa đi. Chỉ khi nó nhận được các lệnh làm như vậy - nếu thông tin được thấy là có hứa hẹn - thì Flame mới cố gắng gây lây nhiễm cho các hệ thống khác bằng việc sử dụng một tá các máy tính. Tổng số cuối cùng khoảng 1.000 máy tính bị lây nhiễm qua quá trình vài năm là quá bé so với Zeus và SpyEye, mà mỗi con đã làm việc theo cách của chúng trong hàng triệu máy tính.

Làm thế nào Flame nhảy vào được các máy tính bị lây nhiễm lúc đầu?

Chúng tôi còn chưa biết, như chúng tôi giả thiết rằng phương pháp điển hình đối với các cuộc tấn công có chủ đích đã được sử dụng. Trong những trường hợp này, những kẻ thâm nhập xác định một nhóm người mà có sự truy cập tới các thông tin thú vị hoặc có thể ít nhất cung cấp sự truy cập như vậy. Những đích này thường bị lây nhiễm bằng phần mềm gián điệp, thông qua thư điện tử giả mạo đặc biệt hoặc các đầu USB mà ai đó đã chủ ý “đánh mất” - hoặc thậm chí bằng việc thâm nhập vào phòng của nạn nhân, nơi mà phần mềm đó được cài đặt bằng tay lên máy tính đích.

Ai có trách nhiệm về Flame? Tình báo Israel?

Chúng tôi không biết - và chúng tôi nghi chúng ta sẽ khi nào đó biết. Chúng tôi biết rằng phần mềm đã được phát triển bởi những người chuyên nghiệp, có khả năng là cả một nhóm. Hơn nữa, dường như nó được sử dụng lặp đi lặp lại trong những tình huống nhất định, chủ yếu là tại Trung Đông, với một sự tập trung đặc biệt vào Iran. Các kết luận có thể được đưa ra về các bên có trách nhiệm, nhưng điều quan trọng phải giữ trong đầu rằng chúng tôi thường chỉ thấy những gì chúng tôi được cho là thấy trong những tình huống này.

Unlike with banking trojans, the individuals behind this program are not interested in spreading it as far and fast as possible – quite the opposite, in fact. As far as we know at this time, the worm didn't try to spread itself at all at first, and if an initial analysis did not come up with anything useful on a system, Flame would even be deleted. Only when it received orders to do so – if the information it found looked promising – did Flame try to infect other systems using local networks, USB sticks, or other methods. And this would typically only infect up to a dozen computers. The final total of about 1,000 infected systems over the course of several years is minimal compared to Zeus and SpyEye, which each worked their way into millions of machines.

And how did Flame get onto the infected computers in the first place?

We do not know that yet, but we assume that the typical method for targeted attacks was used. In these cases, the perpetrators identify a group of people who have access to interesting information or can at least provide such access. These targets are then infected with the spyware, via specially crafted emails or USB sticks that someone has purposefully "lost" – or even by breaking into the victim's apartment, where the software is manually installed on the targeted computer.

Who's responsible for Flame? Israeli intelligence?

We don't know – and we doubt we ever will. We do know that the software was developed by professionals, most likely by a whole team. In addition, it seems to have been repeatedly used in certain situations, mostly in the Middle East, with a particular focus on Iran. Conclusions could be drawn about the responsible parties, but it is important to keep in mind that we often only see what we are supposed to see in these situations.

Flame thường được nhắc tới y hệt như Stuxnet. Liệu có sự liên kết nào không?

Cả 2 chương trình đều đã được sử dụng theo một cách thức có xu hướng để gợi ý có sự liên can của tình báo, nhưng về mặt kỹ thuật chúng có rất ít điểm chung. Stuxnet từng là một chương trình phá hoại mà đã được nhắm đích và tối thiểu, bất chấp dải các chức năng rộng lớn của nó; Flame, mặt khác, là một chương trình phần mềm gián điệp rất mạnh, vạn năng và, kích thước 20MB, thứ gì đó béo ị. Các chuyên gia về virus đã phân tích phần mềm gián điệp này để biết vì sao 2 chương trình đã lan truyền một phần có sử dụng các chỗ bị tổn thương tương tự như nhau.

Liệu Flame có là một mẫu cho một “vũ khí KGM” hiện đại?

Sự chỉ định của Flame có nhiều thứ phải làm với việc gián điệp hơn là phá hủy. Phần mềm gián điệp vì thế sẽ được gắn nhãn là một “máy nghe trộm KGM” hơn là một vũ khí.

Điều gì là đặc biệt về Flame?

Chương trình phần mềm gián điệp này đường như đã được sử dụng nhiều năm mà không bị phát hiện, và cho tới khi bị phát hiện, không chương trình chống virus duy nhất nào nhận biết được phần mềm độc hại này. Tình trạng này chỉ cho thấy một lần nữa các phần mềm chống virus không phù hợp như thế nào cho việc dò tìm các hệ thống chống lại các cuộc tấn công có chủ đích. Các phần mềm chống virus tập trung vào việc dò tìm các máy tính chống lại sự lan truyền, không phần biệt các phần mềm độc hại và, hầu hết, là vô dụng chống lại các phần mềm chuyên dụng như Flame.

Flame is often mentioned in the same breath as Stuxnet. Is there a connection there?

Both programs were used in a way that tends to suggest intelligence involvement, but technically they have very little in common. Stuxnet was a sabotage program that was very targeted and minimal, despite its wide range of functions; Flame, on the other hand, is a spyware program that is very powerful, universal and, at 20MB, somewhat bloated. The virus experts who analysed the spyware could not find any significant similarities in the code, and there are many potential explanations for why the two programs were spread in part using similar vulnerabilities.

Is Flame a prototype for a modern "cyber weapon"?

Flame's assignment has more to do with spying than with destruction. The spyware should therefore be labelled a "cyber wiretap" rather than a weapon.

What is actually special about Flame?

The spyware program seems to have been used for many years without being discovered, and until that happened, not a single anti-virus program recognised the malware. This situation shows once again how unsuitable anti-virus software is for protecting systems against targeted attacks. Anti-virus software focuses on defending machines against widespread, indiscriminate malware and is, for the most part, powerless against specialised software like Flame.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com