Spionajul modern se foloseşte atât de instrumentele clasice, consacrate prin eficienţa dovedită de-a lungul timpului, cât şi de mijloace ultra-moderne, cum sunt programele informatice nocive. Un virus informatic complex, cunoscut sub denumire de Flame, a cărui descoperire a fost anunţată în mai 2012, a acţionat clandestin pe nenumărate computere de pe tot cuprinsul globului, culegând informaţii confidenţiale şi transmiţându-le către centre de comandă-control.
Spionajul cibernetic, cum uşor poate fi intuit, constă în folosirea spaţiului cibernetic de către serviciile specializate pentru a obţine informaţii secrete. De pildă, în luna aprilie 2009 „barierele” de securitate ale computerelor uneia dintre firmele implicate în proiectarea avionului F-35 au fost depăşite de către hackeri, descărcându-se în mod ilicit terabytes de informaţie, conţinând planurile noului avion. Verificările efectuate de experţii în securitate au relevat că furtul de informaţie poartă semnătură chinezească, dar este dificil de afirmat cu certitudine că acţiunea s-a desfăşurat de către ori la ordinul guvernului chinez, deşi este greu de crezut că alte entităţi din China ar fi fost interesate, în nume personal, de planurile aeronavei amintite.
Această metodă de a practica spionajul cibernetic pare însă deja desuetă, în lumina datelor furnizate de către specialiştii în securitate cibernetică după descoperirea virusului Flame, a cărui prezenţă în universul cibernetic a fost anunţată la 28 mai 2012 de către Centrul Naţional Iranian CERT, în urma unor investigaţii desfăşurate de către specialişti ai companiei ruse specializate în soluţii de securitate, Kaspersky (care a şi stabilit denumirea virusului, pe baza unei părţi din numele unui fişier al acestuia). Descoperirea acestui virus a avut loc oarecum întâmplător, căci specialiştii Kaspersky efectuau verificări în Orientul Mijlociu, la cererea Uniunii Internaţionale a Telecomunicaţiilor (organism ONU), pentru identificarea unui software nociv care infectase sute de computere, ştergându-le informaţiile de pe hard-discuri. În acest context a fost identificat Flame.
În prima linie a verificărilor efectuate asupra virusului a fost şi un laborator maghiar specializat în domeniul tehnologiei informaţiilor (Laboratorul de criptografie şi securitatea sistemelor). Răspunsul surprinzător rezultat în urma investigaţiilor preliminare a fost acela că Stuxnet şi Flame au fost create de aceeaşi echipă de programatori, iar Flame este creat anterior virusului Stuxnet (software nociv, descoperit în iunie 2010, care a avut rolul de a sabota programul nuclear iranian), chiar dacă descoperirea lui Flame este mai târzie.
Flame, conform oficialilor iranieni, a afectat într-o oarecare măsură instalaţii folosite în exportul de petrol de către Iran. Despre informaţiile confidenţiale obţinute prin acţiunea clandestină de durată nu se pot face, deocamdată, nici măcar estimări.
Posibilităţi de infectare şi efecte
Informaţiile iniţiale venite de la firmele de securitate privind posibilităţile virusului Flame au părut rupte dintr-un film science-fiction. Virusul a activat nedetectat, vreme de mai mulţi ani, pornind microfoane şi înregistrând conversaţii, realizând capturi de ecran, copiind fişiere, înregistrând operaţiile efectuate cu tastatura şi transferând informaţii către servere dedicate, centre de comandă-control.
Experţi în securitate de la mari companii de profil (Symantec, Kasperky şi altele) au arătat că programul Flame a fost astfel scris încât se poate răspândi în interiorul unei reţele locale (tip LAN) ori prin intermediul unui stick de memorie flash. Se poate duplica şi în interiorul unei reţele de computere bine protejate. Apoi Flame ia controlul fiecărui computer.
Flame poate activa în secret microfonul ori camera video a computerului, înregistrând conversaţiile ori imaginile captate. De asemenea, Flame poate lua instantanee ale ecranului computerului (în special atunci când programe de mesaje instant, ca Yahoo Messenger, sunt în uz), este capabil să extragă informaţii de localizare din imaginile salvate pe computer şi poate transmite comenzi cu ajutorul tehnologiei Bluetooth (încearcă să descarce date de contact disponibile în dispozitive din apropiere care folosesc tehnologia Bluetooth). Virusul scanează zona computerului infectat, face solicitări de identificare către dispozitivele găsite, iar datele obţinute sunt înregistrate. Toată activitatea virusului se concretizează prin transmiterea secretă a datelor către circa 80 de centre de comandă şi control, folosindu-se mai mult de 10 domenii Internet pentru acestea.
Flame are acces la documentele, e-mailurile şi orice alte mesaje stocate pe computerul infectat. Toate aceste date la care are acces virusul sunt trimise, folosindu-se protocoalele SSH (Secure Shell, protocol criptografic de reţea) şi HTTPS (Hypertext Transfer Protocol Secure, de asemenea, protocol de comunicaţii criptate), fără ca proprietarul computerului să-şi dea seama, către computere de comandă/control dispuse în diverse locuri ale lumii. Aceste computere centrale pot, de asemenea, să furnizeze instrucțiuni de comandă virusului.
Deşi complexitatea codului sursă sugerează că virusul a fost destinat pentru obiective strategice, cel mai probabil pentru culegerea de informaţii privind programul nuclear iranian, multe dintre ţintele softului au fost reprezentate de utilizatori obişnuiţi, ceea ce sugerează că realizatorii virusului, cel puţin în a doua fază, au realizat beneficiile pe care le-ar putea aduce o acţiune de o amploare mai mare decât cea planificată iniţial. De asemenea, este posibil ca Flame să fi ieşit din zona destinată de către cei care coordonează operaţiunea, aşa cum s-a întâmplat şi cu virusul Stuxnet, care s-a dorit a fi izolat în interiorul ariei cu instalaţii nucleare iraniene (care nu sunt conectate la Internet), dar care, nu se ştie cum (probabil prin intermediul unor stickuri de memorie, aşa cum şi probabil a „intrat”), a reuşit să „evadeze” şi să infecteze computere de pe întreaga planetă.
Complexitatea şi mărimea softului (în jurul a 20 de MB, în funcţie de configuraţie), zona geografică ţintă (Orientul Mijlociu, în special Iranul, Siria, Arabia Saudită, Israel, West Bank, Liban şi altele) şi comportamentul, arată că Flame este o armă cibernetică. Acesta nu este destinat, de exemplu, efectuării de operaţiuni financiare ilegale, ci culegerii de informaţii, folosind în acest sens toate posibilităţile computerului gazdă.
După cum am afirmat mai sus, Flame a fost creat pentru spionaj. După infectare, acesta deschide un backdoor („uşă” secretă), care este folosită pentru adăugarea unor noi opţiuni. Dispune de un program de tip sniffer (software specializat în analizarea pachetelor de date transmise prin intermediul unei reţele) pentru a detecta numele de utilizator şi parolele folosite pe computerul infectat. Flame identifică existenţa conexiunii la Internet şi colectează date ale utilizatorului infectat: loguri de execuţie, lista proceselor ce rulează pe maşina infectată, lista componentelor hardware a maşinii infectate. Virusul a infectat sistemele de operare: Windows 7 pe 32 biţi (50% din totalul infecţiilor), Windows XP (45% din total) şi Windows Vista, 5%. Sistemul de operare Windows 7 pe 64 de biţi nu a fost o ţintă.
Mecanism de propagare
Ca mecanism de propagare, Flame foloseşte serviciul Microsoft Windows Update. De ce serviciul de actualizare a sistemului de operare? Pentru că acesta este des folosit de către majoritatea utilizatorilor de Windows, cel mai răspândit sistem de operare, şi nu trezeşte suspiciuni privind o derulare a unei eventuale activităţi neautorizate pe computer. În fapt, virusul păcăleşte computerul, făcându-l să „creadă” că are de a face cu un update Windows. Preluarea comenzii Windows Update nu este o sarcină la îndemâna oricui, dat fiind că orice actualizare trebuie semnată de Microsoft. Conform explicaţiilor Microsoft, s-a identificat o breşă într-un algoritm de criptare mai vechi, exploatată de către creatorii virusului. Flame ocoleşte, deci, restricţiile, folosind un certificat de securitate care pare produs de către Microsoft. Când sistemul de operare face o verificare privind existenţa unei actualizări, Flame preia controlul, identificându-se drept un cod valid, recunoscut şi validat de către sistem.
Deşi şi alţi viruşi ţintesc obţinerea de informaţii confidenţiale din computerele infectate, Flame depăşeşte în complexitate orice alt soft nociv cunoscut. Faptul că paleta sa de disponibilităţi privind colectarea de date este atât de largă, transformă Flame într-un veritabil instrument de spionaj.
Capacitatea de „sinucidere”
O caracteristică avansată a virusului este aceea de a dispărea fără urmă de pe un computer, la nevoie. Cei care controlează Flame au posibilitatea activării unor rutine de ştergere a virusului de pe computerul infectat. Aşadar, virusul dispune de o rutină responsabilă cu „sinuciderea”: StartBrowser este componenta virusului responsabilă cu localizarea fiecărui fişier al virusului, înlăturarea acestora şi suprascrierea hard-discului.
Astfel, atunci când sunt motive serioase pentru a înceta activitatea pe un anumit computer (ca, de exemplu, descoperirea iminentă a virusului), serverele de comandă-control sunt folosite pentru transmiterea comenzilor adecvate şi activarea modulului de „sinucidere”. Ca urmare, în câteva secunde virusul se va auto-şterge, computerul rămânând fără nicio urmă a activităţii virale.
Cum se „infiltrează” Flame în computere?
Trebuie menţionat foarte clar că programele antivirus au fost fără reacţie la prezenţa virusului Flame pe Internet. Acesta reuşeşte să identifice programele periculoase pentru el - cum sunt programele antivirus - şi să acţioneze în clandestinitate, fără a trezi suspiciuni privind activităţile desfăşurate.
Reuşind să se disimuleze sub forma unei activităţi de rutină constând în actualizarea sistemului de operare Windows, aşa cum am explicat mai sus, Flame a reuşit ca, vreme de câţiva ani, să fie invizibil pentru produsele firmelor creatoare de software antivirus.
Virusul Flame a născut discuţii aprinse privind rolul programelor antivirus în noua eră, a viruşilor militari, creaţi de echipe specializate de programatori, care dovedesc o excelentă cunoaştere a mediului de propagare a virusului, precum şi a limitelor protocoalelor şi softurilor de securitate care asigură funcţionarea de bază a computerelor şi a reţelei globale. Îşi pot propune programele antivirus detectarea acestui tip de software nociv, super-sofisticat ori rolul acestora a fost şi va fi doar acela de a contracara acţiunea viruşilor „mărunţi”, creaţi de diverşi hackeri? Va fi necesară lansarea unor noi linii de produse antivirus, special concepute pentru super-viruși, care să protejeze elementele critice de infrastructură cibernetică? Ori, pur şi simplu, o companie ce oferă soluţii de securitate nu-şi poate propune ca obiectiv principal combaterea viruşilor militari, strategici, această sarcină fiind în mod exclusiv a administratorilor de securitate ai fiecărei instituţii? Aceste întrebări nu au răspunsuri ferme deocamdată, dar ele sugerează trecerea într-o nouă etapă a protecţiei informatice, în care limitele soluţiilor antivirus au fost arătate cu prisosinţă, fiind necesară o regândire a modului în care asigurăm protecţia cibernetică, în special a sistemelor care stochează ori vehiculează informaţii sensibile.
Creatorul virusului Flame, incert
Identificarea precisă a creatorilor virusului Flame reprezintă un demers dificil, asumat în parte de către companiile de securitate, dar care nu oferă decât răspunsuri parţiale şi probabile, nu definitive.
Conform unor cunoscători ai operaţiilor cibernetice ale SUA care, sub protecţia anonimatului, au oferit detalii pentru două dintre cele mai importante cotidiene americane (New York Times şi Washington Post), Flame a fost scris ca parte a unui program codificat Jocurile Olimpice (Olympic Games), dezvoltat de SUA şi Israel, care are rolul de a încetini programul nuclear iranian şi de a reduce necesitatea unui atac militar convenţional, permiţând astfel ca măsurile diplomatice şi diversele sancţiuni împotriva Iranului să aibă mai multe şanse de reuşită. Acţiunile cibernetice au rolul de a sprijini celelalte acţiuni de sabotaj ale celor două state amintite mai sus, cum ar fi introducerea de componente defecte pentru centrifuge în lanţul de achiziţie iranian.
Programul prin care s-a dorit întârzierea cât de mult posibil a programului nuclear al Iranului a demarat în anul 2000. În 2008 programul ar fi trecut de la forţele armate la CIA. Virusul Flame ar fi fost creat pentru a cartografia reţelele de computere iraniene, monitorizarea acestora şi culegerea de diverse informaţii, transmise apoi către staţiile de comandă şi control.
În dezvoltarea şi folosirea acestor arme cibernetice sunt implicate atât Agenţia Naţională de Securitate - NSA, cât şi Agenţia Centrală de Informaţii, CIA. Daca NSA dispune de programatori foarte buni, CIA dispune de mijloacele necesare răspândirii unui virus.
Ce mai înseamnă „sigur” în spaţiul cibernetic?
Existenţa unor viruşi informatici care dispun de posibilităţi de nivelul celor ale virusului Flame ridică o problemă fundamentală privind securitatea comunicărilor care se doresc secrete între diferite entităţi, întrucât oricâte măsuri de securitate se vor lua, niciodată un utilizator nu va putea fi absolut sigur că dispozitivul folosit, dacă nu este independent în cel mai înalt grad (deconectat de orice reţea şi fără nicio posibilitate de comunicare cu vreun dispozitiv aflat în apropierea sa), va putea fi utilizat, în condiţii de siguranţă, pentru transmiterea de mesaje care se doresc confidenţiale. Această menţiune este util de reţinut în contextul existenţei unor protocoale ori softuri specializate de criptare care, în principiu, folosite corect, ar asigura o comunicare sigură. Dar întrucât este posibil ca însuşi actul scrierii unui mesaj să fie înregistrat, stocat şi transmis către terţe părţi, în secret, nu există comunicare sigură de pe un computer integrat într-o reţea, cum este Internetul.
Pe de altă parte, această posibilitate de a avea acces la informaţii confidenţiale pe care o poate pune la dispoziţie folosirea unui virus sofisticat, de talia lui Flame, fără ca expeditorul / destinatarul să fie conştienţi de slăbiciunea canalului lor de comunicare, oferă un avantaj excepţional, permiţând derularea unor acţiuni de control şi dirijare a propriilor activităţi informative de către partea aflată în posesia capacităţii de monitorizare a comunicaţiilor, în secret şi în deplin control al situaţiei.
Este de amintit aici avantajul decisiv pe care şi l-au asigurat britanicii în timpul celui de-al Doilea Război Mondial prin spargerea codurilor sistemului de cifrare a mesajelor germane, Enigma. Accesul la comunicările germane a permis identificarea agenţilor germani acţionând pe teritoriul britanic, abordarea şi recrutarea acestora, în interesul Coroanei britanice, precum şi folosirea ulterioară a acestora, ca agenţi dubli, în scopul dezinformării conducerii politico-militare naziste privind intenţiile trupelor aliate privitoare la invazia Europei. Mai mult, capacitatea de a intercepta şi decodifica mesajele acestor agenţi, fără ştirea acestora, a permis un control aproape total al activităţii acestora, dar şi al modului în care germanii au recepţionat, procesat şi transmis către vectorii de decizie informaţiile primite de la reţeaua de agenţi activând pe teritoriul britanic. Această reuşită a descifrării codurilor a avut, probabil, prin multiplele avantaje pe care le-a conferit britanicilor şi, în parte, aliaţilor săi, un rol determinant în asigurarea succesului în cel de-al Doilea Război Mondial ori cel puţin un rol determinant în scurtarea conflictului. În acelaşi fel, posibilitatea decriptării unor mesaje confidenţiale poate conferi avantaje nete părţii care deţine instrumente cibernetice de spionaj care acţionează clandestin în reţelele adversarului.
Discuţiile generate de descoperirea virusului Flame au trezit atenţia actorilor implicaţi în domeniul cibernetic asupra posibilităţilor reale (şi beneficiilor potenţiale) ale utilizării unui instrument cibernetic sofisticat. Pe de altă parte, unele guverne sunt implicate activ în sprijinirea unor programe sofisticate, ca Stuxnet ori Flame, pentru a fi folosite la nevoie în scopul atingerii unor obiective care, altfel, ar fi foarte dificil de îndeplinit. Fără a exagera, putem afirma că în prezent se desfăşoară, în mod tăcut, o adevărată cursă a înarmărilor în domeniul cibernetic. Spre deosebire de conflictul clasic, angajarea armelor cibernetice este mult mai silenţioasă, fiind posibil ca de efectele folosirii acestora să aflăm după ani ori poate chiar niciodată. De asemenea, spre deosebire de o cursă a înarmărilor clasică, în domeniul cibernetic nu este nevoie de sume enorme angajate în cercetare, ci de specialişti în tehnologia informaţiilor înalt calificaţi şi dedicaţi efortului de a realiza produse informatice de excepţie.
Concluzii
Virusul Flame, care a dovedit o capacitate uimitoare de disimulare, răspândire şi culegere de informaţii de pe computerele ţintă, reprezintă un nou reper privind posibilităţile reale ale armelor cibernetice, arătând că softurile clasice de protecţie împotriva infectării cu software nociv nu sunt suficiente împotriva unui atac cu viruşi strategici, creaţi de echipe de programatori de elită. Mai mult, alături de tehnicile specifice serviciilor secrete, un asemenea virus poate penetra orice reţea, inclusiv una independentă, fără nicio legătură fizică ori de altă natură cu Internetul.
Descoperirea virusului Flame repune pe tapet problema securităţii informatice ca o necesitate stringentă, de neocolit, căci ignorarea acesteia înseamnă, probabil, compromiterea de informaţii secrete. Virusul Flame este deja istorie, dar este posibil ca alte softuri asemănătoare ori cu posibilităţi superioare să acţioneze chiar acum în mod clandestin pe computerele noastre care stochează informaţii clasificate.
Citește și: Stuxnet - atacul asupra programului nuclear iranian
Surse:
• www.symantec.com
• www.symantec.com
• www.nytimes.com
