FAQ:
Flame, the "super spy"
31 May 2012, 13:33, by
Jürgen Schmidt
Bài được đưa lên
Internet ngày: 31/05/2012
Sâu
gián điệp Flame đang được xem như một “vũ khí không
gian mạng (KGM) chết người”, nhưng một phân tích bình
tĩnh hơn phát hiện nó sẽ là một công cụ của các
chuyên gia dành cho các chuyên gia mà không thực sự có
nhiều tính năng so sánh được để, nói, với trojan ngân
hàng trực tuyến rộng khắp như Zeus.
The
spyware worm Flame is being billed as a "deadly cyber weapon",
but a calmer analysis reveals it to be a tool by professionals for
professionals that doesn't actually have that many new features
compared to, say, the widespread online-banking trojan Zeus.
Lời
người dịch: Lại một virus khủng mới được phát hiện,
có tên là Flame, hoặc Flamer và sKyWIper. Nó được đánh
giá là “Siêu gián điệp không gian mạng”, tấn
công có chủ đích, có chọn lọc chứ không phải loại
thông thường. Phần mềm gián điệp này chủ yếu để
nắm bắt nhiều dạng thông tin khác nhau. “Nó không
chỉ có thể ăn cắp các tệp và các thư điện tử từ
các máy tính bị lây nhiễm, mà còn biến chúng thành các
thiết bị ghi âm và trinh sát có sử dụng các micro và
webcam được kết nối. Nó cũng có khả năng ghi lại
các màn hình, bàn phím và giao thông mạng”. “Chương
trình phần mềm gián điệp này đường như đã được
sử dụng nhiều năm mà không bị phát hiện, và cho tới
khi bị phát hiện, không chương trình chống virus duy
nhất nào nhận biết được phần mềm độc hại này.
Tình trạng này chỉ cho thấy một lần nữa các phần mềm
chống virus không phù hợp như thế nào cho việc dò tìm
các hệ thống chống lại các cuộc tấn công có chủ
đích. Các phần mềm chống virus tập trung vào việc dò
tìm các máy tính chống lại sự lan truyền, không phần
biệt các phần mềm độc hại và hầu hết là vô dụng
chống lại các phần mềm chuyên dụng như Flame”.
Flame
là gì?
Flame là tên mã cho
một chương trình phần mềm gián điệp được xây dựng
theo module và cũng được biết tới như là Flamer và
sKyWIper. Flame từng chỉ được phát hiện gần đây, và
nó là có trước khi tất cả các thành phần của nó được
phân tích. Các công ty phần mềm chống virus đánh giá
rằng Flame đã lây nhiễm khoảng 1.000 máy tính, chủ yếu
ở Trung Đông.
Flame
làm gì?
Phần
mềm gián điệp này chủ yếu để nắm bắt nhiều dạng
thông tin khác nhau. Nó không chỉ có thể ăn cắp các tệp
và các thư điện tử từ các máy tính bị lây nhiễm, mà
còn biến chúng thành các thiết bị ghi âm và trinh sát có
sử dụng các micro và webcam được kết nối. Nó cũng có
khả năng ghi lại các màn hình, bàn phím và giao thông
mạng.
Nhưng
tất cả những thứ đó đã là tiêu chuẩn cho nhiều phần
mềm độc hại rồi. Liệu nó có thứ gì đó mới hay
không?
Một tính năng không
bình thường là Flame có khả năng kết nối với các
thiết bị Bluetooth trong khu vực. Còn chưa rõ chính xác
điều gì xảy ra trong trường hợp này, nhưng có khả
năng là các bộ tai nghe có thể được sử dụng để
gián điệp hoặc là các ảnh chụp có thể bị ăn cắp
từ các điện thoại thông minh. Phân tích nhiều hơn là
cần thiết để tìm ra các chi tiết hơn nữa.
Một tính năng độc
nhất vô nhị khác là trình biên dịch LUA được đưa
vào, mà có thể được sử dụng để dễ dàng mở rộng
chức năng của phần mềm gián điệp với các scripts.
What
is Flame?
Flame
is the code name for a spyware program that is built to be very
modular and which is also known as Flamer and sKyWIper. Flame was
just recently discovered, and it will be some time before all of its
components are analysed. Anti-virus software companies estimate that
Flame has infected about 1,000 computers, mostly in the Middle East.
What
does Flame do?
The
spyware specialises in getting hold of many different types of
information. Not only can it steal files and emails from infected
computers, but it can also turn them into bugging and surveillance
devices using connected microphones and webcams. It is also able to
record screenshots, keystrokes, and network traffic.
But
all of that is already standard for a lot of malware. Does it have
anything new?
One
unusual feature is that Flame is able to connect with Bluetooth
devices in the area. It's not clear yet what exactly happens in this
case, but it's possible that headsets could be used for spying or
that photos could be stolen from smartphones. Machines infected with
Flame seem to also be able to broadcast as Bluetooth devices that
offer services. More analysis is necessary to uncover further
details.
Another
unique feature is the LUA interpreter that is included, which can be
used to easily extend the functionality of the spyware with scripts.
A
modular concept, sophisticated spying features – we've already seen
that with Zeus and SpyEye. How is Flame different from those
online-banking trojan kits?
Flame
khác biệt với các bộ trojan ngân hàng trực tuyến khác
như thế nào?
Không giống như các
trojan ngân hàng, các cá nhân đứng đằng sau chương trình
này không quan tâm trong việc lan truyền nó xa và nhanh nhất
có thể - hoàn toàn ngược lại, trong thực tế. Theo chúng
tôi được biết tới lúc này, sâu này đã không cố gắng
tự mình lan truyền, và nếu một phân tích ban đầu đã
không đi với bất kỳ thứ gì hữu dụng trong hệ thống,
thì Flame thậm chí có thể bị xóa đi. Chỉ
khi nó nhận được các lệnh làm như vậy - nếu thông
tin được thấy là có hứa hẹn - thì Flame mới cố gắng
gây lây nhiễm cho các hệ thống khác bằng việc sử dụng
một tá các máy tính. Tổng số cuối cùng khoảng
1.000 máy tính bị lây nhiễm qua quá trình vài năm là quá
bé so với Zeus và SpyEye, mà mỗi con đã làm việc theo
cách của chúng trong hàng triệu máy tính.
Làm
thế nào Flame nhảy vào được các máy tính bị lây nhiễm
lúc đầu?
Chúng tôi còn chưa
biết, như chúng tôi giả thiết rằng phương pháp điển
hình đối với các cuộc tấn công có chủ đích đã được
sử dụng. Trong những trường hợp này, những kẻ thâm
nhập xác định một nhóm người mà có sự truy cập tới
các thông tin thú vị hoặc có thể ít nhất cung cấp sự
truy cập như vậy. Những đích này thường bị lây nhiễm
bằng phần mềm gián điệp, thông qua thư điện tử giả
mạo đặc biệt hoặc các đầu USB mà ai đó đã chủ ý
“đánh mất” - hoặc thậm chí bằng việc thâm nhập
vào phòng của nạn nhân, nơi mà phần mềm đó được
cài đặt bằng tay lên máy tính đích.
Ai
có trách nhiệm về Flame? Tình báo Israel?
Chúng tôi không biết
- và chúng tôi nghi chúng ta sẽ khi nào đó biết. Chúng
tôi biết rằng phần mềm đã được phát triển bởi
những người chuyên nghiệp, có khả năng là cả một
nhóm. Hơn nữa, dường như nó được sử dụng lặp đi
lặp lại trong những tình huống nhất định, chủ yếu
là tại Trung Đông, với một sự tập trung đặc biệt
vào Iran. Các kết luận có thể được đưa ra về các
bên có trách nhiệm, nhưng điều quan trọng phải giữ
trong đầu rằng chúng tôi thường chỉ thấy những gì
chúng tôi được cho là thấy trong những tình huống này.
Unlike
with banking trojans, the individuals behind this program are not
interested in spreading it as far and fast as possible – quite the
opposite, in fact. As far as we know at this time, the worm didn't
try to spread itself at all at first, and if an initial analysis did
not come up with anything useful on a system, Flame would even be
deleted. Only when it received orders to do so – if the information
it found looked promising – did Flame try to infect other systems
using local networks, USB sticks, or other methods. And this would
typically only infect up to a dozen computers. The final total of
about 1,000 infected systems over the course of several years is
minimal compared to Zeus and SpyEye, which each worked their way into
millions of machines.
And
how did Flame get onto the infected computers in the first place?
We
do not know that yet, but we assume that the typical method for
targeted attacks was used. In these cases, the perpetrators identify
a group of people who have access to interesting information or can
at least provide such access. These targets are then infected with
the spyware, via specially crafted emails or USB sticks that someone
has purposefully "lost" – or even by breaking into the
victim's apartment, where the software is manually installed on the
targeted computer.
Who's
responsible for Flame? Israeli intelligence?
We
don't know – and we doubt we ever will. We do know that the
software was developed by professionals, most likely by a whole team.
In addition, it seems to have been repeatedly used in certain
situations, mostly in the Middle East, with a particular focus on
Iran. Conclusions could be drawn about the responsible parties, but
it is important to keep in mind that we often only see what we are
supposed to see in these situations.
Flame
thường được nhắc tới y hệt như Stuxnet. Liệu có sự
liên kết nào không?
Cả 2 chương trình
đều đã được sử dụng theo một cách thức có xu hướng
để gợi ý có sự liên can của tình báo, nhưng về mặt
kỹ thuật chúng có rất ít điểm chung. Stuxnet từng là
một chương trình phá hoại mà đã được nhắm đích và
tối thiểu, bất chấp dải các chức năng rộng lớn của
nó; Flame, mặt khác, là một chương trình phần mềm gián
điệp rất mạnh, vạn năng và, kích thước 20MB, thứ gì
đó béo ị. Các chuyên gia về virus đã phân tích phần
mềm gián điệp này để biết vì sao 2 chương trình đã
lan truyền một phần có sử dụng các chỗ bị tổn
thương tương tự như nhau.
Liệu
Flame có là một mẫu cho một “vũ khí KGM” hiện đại?
Sự chỉ định của
Flame có nhiều thứ phải làm với việc gián điệp hơn
là phá hủy. Phần mềm gián điệp vì thế sẽ được
gắn nhãn là một “máy nghe trộm KGM”
hơn là một vũ khí.
Điều
gì là đặc biệt về Flame?
Chương
trình phần mềm gián điệp này đường như đã được
sử dụng nhiều năm mà không bị phát hiện, và cho tới
khi bị phát hiện, không chương trình chống virus duy nhất
nào nhận biết được phần mềm độc hại này. Tình
trạng này chỉ cho thấy một lần nữa các phần mềm
chống virus không phù hợp như thế nào cho việc dò tìm
các hệ thống chống lại các cuộc tấn công có chủ
đích. Các phần mềm chống virus tập trung vào việc dò
tìm các máy tính chống lại sự lan truyền, không phần
biệt các phần mềm độc hại và, hầu hết, là vô dụng
chống lại các phần mềm chuyên dụng như Flame.
Flame
is often mentioned in the same breath as Stuxnet. Is there a
connection there?
Both
programs were used in a way that tends to suggest intelligence
involvement, but technically they have very little in common. Stuxnet
was a sabotage program that was very targeted and minimal, despite
its wide range of functions; Flame, on the other hand, is a spyware
program that is very powerful, universal and, at 20MB, somewhat
bloated. The virus experts who analysed the spyware could not find
any significant similarities in the code, and there are many
potential explanations for why the two programs were spread in part
using similar vulnerabilities.
Is
Flame a prototype for a modern "cyber weapon"?
Flame's
assignment has more to do with spying than with destruction. The
spyware should therefore be labelled a "cyber wiretap"
rather than a weapon.
What
is actually special about Flame?
The
spyware program seems to have been used for many years without being
discovered, and until that happened, not a single anti-virus program
recognised the malware. This situation shows once again how
unsuitable anti-virus software is for protecting systems against
targeted attacks. Anti-virus software focuses on defending machines
against widespread, indiscriminate malware and is, for the most part,
powerless against specialised software like Flame.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.