觀點

超級間諜程式Flame曝光 已暗中活動長達5年

2012 / 06 / 04
編輯部
超級間諜程式Flame曝光  已暗中活動長達5年

StuxnetDuqu後,最近又出現一個分布位置與攻擊手法相當類似的病毒Flame,只不過它的特徵與功能卻更複雜,甚至被視為有史以來最複雜的病毒,且因為複雜度高察覺不易,資安廠商推測Flame可能已活動了至少2 ~5年的時間。

 

Flame主要目的在於竊取攻擊目標的機密資料,就像一個大的攻擊套件,包含許多不同的攻擊模組,因而可以展開多種攻擊行動,駭客可以根據每一次攻擊的目標不同,而決定使用該病毒的哪些功能,如:使用電腦的麥克風記錄對話、針對特定應用程式使用screenshot擷取畫面、記錄鍵盤敲打、監測網路流量,以及與週遭的藍牙裝置連結。除此之外,Flame可透過USB隨身碟進行擴散。

 

卡巴斯基實驗室表示,當Flame感染一台裝有防毒軟體的電腦時,Flame可以暫時停止執行相關程序或停止執行惡意程式碼運作,以避免啟動防毒軟體偵測,而這也是Flame之所以存在這麼久而未被發現的原因之一。直到今(2012)4月底,聯合國旗下的國際電信聯盟(ITU, International Telecommunication Union)請求協助偵測一隻攻擊伊朗石油部的未知病毒,才讓Flame因此曝光。

 

目前發現已經遭受Flame病毒感染的區域以中東國家居多,包括伊朗、以色列、蘇丹、敘利亞、黎巴嫩、沙烏地阿拉伯,以及埃及等,賽門鐵克偵測到的Flame感染區域還包括匈牙利、奧地利、俄國和香港等,攻擊目標則未侷限於特定產業,包括政府單位、教育機構、貿易公司,以及個人用戶都有。

 

由於Flame具備許多不同功能以竊取不同的資料,因此目前還難以判斷其作者是誰,但卡巴斯基和賽門鐵克都認為,StuxnetFlame是來自不同的團隊所撰寫。根據Flame的複雜度以及該惡意程式所運用的資源,賽門鐵克推測,Flame的作者可能隸屬於國家層級,或受到某個國家單位的支持。卡巴斯基表示,目前僅發現該惡意程式中的某些原始碼內容是以英文撰寫,但還未發現任何證據用以判定Flame來自哪個特定的國家或地區。

 

卡巴斯基創始人暨執行長Eugene Kaspersky表示,Flame開啟了一個新的國家層級的網路戰爭,除非有更多安全機構對該惡意程式進行檢測,否則它的重要性將難以被全面理解。重要的是,這樣的網路攻擊工具可以輕易地被用在攻擊任何國家,而且愈先進的國家反而更容易受挫。