Forskere optrevler usædvanligt avanceret malware
-
af
modgaard
mboost-dp1
Kaspersky Lab
Jeg har ikke så fandens meget forstand på malware, så jeg spørger måske lidt forvirret :)
Hvorfor skal de være statsstøttet før det kan være meget komplekst? Er det fordi de kan afsætte flere mænd til at lave en kompleks kode?
I hvilke lande blev det malware fundet, og hvem har lavet den malware?
Hvad laver den malware? Kopiere filer ned på en USB stick? Hvem henter den USB stick, når den er fyldt?
Hvorfor skal de være statsstøttet før det kan være meget komplekst? Er det fordi de kan afsætte flere mænd til at lave en kompleks kode?
I hvilke lande blev det malware fundet, og hvem har lavet den malware?
Hvad laver den malware? Kopiere filer ned på en USB stick? Hvem henter den USB stick, når den er fyldt?
#2 Kompleksiteten er større end en enkelt hacker eller 20 hackers ville kunne gøre, og er sikkert baseret på meget dybdegående viden om sikkerhed, hardware, styresystemer og så videre.
Det som afslørede Stux Net mener jeg var at koden ikke var set før. Dele af den var, men det som ikke var, var langt mere advanceret end noget andet man havde set. Noget der umuligt kunne have været et hobby projekt og så havde den samtidigt et ret specifikt formål.
Hvem har lavet den og hvem er ramt af den?
Ingen af disse lande er USA, og Iran var målet for Stux Net som jeg mener USA endda indrømmede de havde lavet. Cyber Warfare er ikke nogen hemmelighed.
Denne malware sender automatisk passwords og hvad den ellers opsnapper over nettet, hvis den modtager en kommando fra nettet om at denne data skal sendes.
Men til de computere som ikke er på nettet, der har de så oven i købet lavet en mulighed for at man bare kan indsætte denne USB stik, lavet specielt til denne malware, som så i al hemmelighed kan kopiere alt denne data som malwaren har opfanget, til USB stikken på en hemmelig partition, som jeg har forstået det.
Så det gør det jo nemt for spioner at få fat i denne data, og de behøves ikke engang selv at være der, de skal bare overbevise en der bruger computeren til at læse noget data fra denne USB stik. Hvis de er regeringsfolk kan de sikkert bare give et stik med "fortrolig data" som de jo så skal have tilbage igen for at sikre denne data ikke bliver delt med flere end den burde.
Malware har det jo med at være kompleks kode, så når man skriver at koden er så kompleks at det kun kan være med statsstøtte det er sket, må jo betyde at kompleksiteten slet ikke kan sammenlignes med almindelig kendt malware.
Det som afslørede Stux Net mener jeg var at koden ikke var set før. Dele af den var, men det som ikke var, var langt mere advanceret end noget andet man havde set. Noget der umuligt kunne have været et hobby projekt og så havde den samtidigt et ret specifikt formål.
Hvem har lavet den og hvem er ramt af den?
De ramte computere er fundet hos forskellige statslige institutioner, research centre, militære organisationer, tele-udbydere og finansielle institutioner i Rusland, Iran, Rwanda, Kina, Sverige, belgien og muligvis også nogle italiensk talende lande.
Ingen af disse lande er USA, og Iran var målet for Stux Net som jeg mener USA endda indrømmede de havde lavet. Cyber Warfare er ikke nogen hemmelighed.
Denne malware sender automatisk passwords og hvad den ellers opsnapper over nettet, hvis den modtager en kommando fra nettet om at denne data skal sendes.
Men til de computere som ikke er på nettet, der har de så oven i købet lavet en mulighed for at man bare kan indsætte denne USB stik, lavet specielt til denne malware, som så i al hemmelighed kan kopiere alt denne data som malwaren har opfanget, til USB stikken på en hemmelig partition, som jeg har forstået det.
Så det gør det jo nemt for spioner at få fat i denne data, og de behøves ikke engang selv at være der, de skal bare overbevise en der bruger computeren til at læse noget data fra denne USB stik. Hvis de er regeringsfolk kan de sikkert bare give et stik med "fortrolig data" som de jo så skal have tilbage igen for at sikre denne data ikke bliver delt med flere end den burde.
Malware har det jo med at være kompleks kode, så når man skriver at koden er så kompleks at det kun kan være med statsstøtte det er sket, må jo betyde at kompleksiteten slet ikke kan sammenlignes med almindelig kendt malware.
#2 og 3
Jeg er ret sikker på at de kan oprette disse hemmelige partitioner på hvad end USB-lagermedie der bliver sat ind i computeren, det er i hvert fald tilfældet med normale drev, som Kaspersky har påvist tidligere.
#2
Det snedige og ekstremt avancerede er at USB-drevet virker som "netværk" mellem de internetløse netværk og netværk der er koblet til internettet, så når USB-dimsen er i en inficeret computer bliver den inficeret, og kan hermed inficere de lukkede netværk og putte spændende ting til side, når den så er tilbage på et netværk med forbindelse til internettet sender den så selv sine oplysninger tilbage til bagmændene, host host NSA.
Måden man har konkluderet at det er statslige institutioner der er indblandet er omfanget af malwarens kompleksitet, i tidligere tilfælde har den krævet adgang til mange forskellige hardware producenters kilde kode til deres firmware.
Hvilket kunne betyde at firmaet muligvis har været fysisk infiltreret, det kunne self være en hemmelig uafhængig kriminel organisation med meget store mængder resurser og vidtrækkende indflydelse (Noget i stil med Spectre eller Hydra). Den mere simple forklaring ville være at det var statsstøttet.
Jeg er ret sikker på at de kan oprette disse hemmelige partitioner på hvad end USB-lagermedie der bliver sat ind i computeren, det er i hvert fald tilfældet med normale drev, som Kaspersky har påvist tidligere.
#2
Det snedige og ekstremt avancerede er at USB-drevet virker som "netværk" mellem de internetløse netværk og netværk der er koblet til internettet, så når USB-dimsen er i en inficeret computer bliver den inficeret, og kan hermed inficere de lukkede netværk og putte spændende ting til side, når den så er tilbage på et netværk med forbindelse til internettet sender den så selv sine oplysninger tilbage til bagmændene, host host NSA.
Måden man har konkluderet at det er statslige institutioner der er indblandet er omfanget af malwarens kompleksitet, i tidligere tilfælde har den krævet adgang til mange forskellige hardware producenters kilde kode til deres firmware.
Hvilket kunne betyde at firmaet muligvis har været fysisk infiltreret, det kunne self være en hemmelig uafhængig kriminel organisation med meget store mængder resurser og vidtrækkende indflydelse (Noget i stil med Spectre eller Hydra). Den mere simple forklaring ville være at det var statsstøttet.
#5 Med harddiskene havde de kompromitteret harddiskfirmwaren som de så overskrev for netop at kunne oprette disse skjulte partitioner, jeg forestiller mig at noget i samme stil kunne ske med et USB-drev.
Ovenstående er netop et af eksemplerne på hvorfor det netop er sådan et vanvittigt kompliceret arbejde at få alt dette til at virke, og specielt uden at det bliver opdaget :-)
Ovenstående er netop et af eksemplerne på hvorfor det netop er sådan et vanvittigt kompliceret arbejde at få alt dette til at virke, og specielt uden at det bliver opdaget :-)
kblood (5) skrev:#4 Det er ikke helt nemt at skjule at man lige partionere et tilfældigt USB stick, og det er vidst også derfor nyheden skriver at det skal være specielt forberedte USB sticks der kan bruges til at hente og gemme den data som malwaren har samlet.
Tror ikke du forstår kompleksiteten af disse malware, de kan sagtens partitionere en usb uden du ligger mærke til noget som helst med et VFS (virtual file system).
Her et et link til en lidt dybere forklaring af malwaren https://securelist.com/files/2016/07/The-ProjectSa...
Og syntes du det er interessant, vil jeg anbefale deres breakdown af blandt andet Gauss, flame samt DuQu malwaren, de er sindsygt komplekse og kaspersky har masser af pdf'er på op til 80 sider der beskriver dem ret dybt....
#6 Ja, men stadigt, hard disken i computeren har malwaren et godt stykke tid til at lave, men et USB stik sidder måske kun i computeren i få minutter, og bliver man ikke færdig ødelægges hele USB stikken nok. Desuden gør det det også nemmere at kunne bemærke at der pludselig mangler plads på den USB stik. At alle USB sticks sat i disse computere fik denne data lagt på sig vil oven i købet også gøre at det kun vil være et spørgsmål om tid før nogen opdagede at et USB stik havde skjulte partitioner. For at skjule denne malware så længe som muligt, er det bedst at sikre den kun udføre de mest nødvendige operationer.
#7 Som jeg lige skrev, så ser jeg det ikke som at problemet skulle være at den gør det ved USB stikken, men risikoen ved at gøre det. Som jeg læser det så med standard USB sticks gør malwaren ikke andet end at tage documenter fra den USB stick og gemme den på sin hemmelige partition, men der skal stadigt en speciel USB stick til hvis der skal ske det med at de filer og den data den har samlet skal kopieres til USB stikken. Det er sådan jeg forstår det dokument den linkede.
Men sindsygt hvor meget den kan gøre. Den har jo alle typer malware i en ser det ud til. Keylogger, portscanner, trojan... mangler bare en kill command der kan kryptere hele computeren eller bare slette alt data på den, eller måske har den også det og jeg bare ikke har læst nok om den.
#7 Som jeg lige skrev, så ser jeg det ikke som at problemet skulle være at den gør det ved USB stikken, men risikoen ved at gøre det. Som jeg læser det så med standard USB sticks gør malwaren ikke andet end at tage documenter fra den USB stick og gemme den på sin hemmelige partition, men der skal stadigt en speciel USB stick til hvis der skal ske det med at de filer og den data den har samlet skal kopieres til USB stikken. Det er sådan jeg forstår det dokument den linkede.
Men sindsygt hvor meget den kan gøre. Den har jo alle typer malware i en ser det ud til. Keylogger, portscanner, trojan... mangler bare en kill command der kan kryptere hele computeren eller bare slette alt data på den, eller måske har den også det og jeg bare ikke har læst nok om den.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund