Sikkerhetsresearchere hos russiske Kaspersky Lab har avdekket et omfattende og svært avansert virusprogram. Programmet, som ser ut til å være utviklet av NSA, har antagligvis vært aktivt i over tolv år, og benytter seg av sikkerhetshull i alle store operativsystemer.
Virusprogrammet, som teknologinettstedet ArsTechnica skriver langt om i dag, ser ut til å være programmert av en gruppe som har fått navnet «Equation Group». Kaspersky Lab tror viruset er et av de mest avanserte noensinne oppdaget.
Tidligere ansatte i den amerikanske etterretningsorganisasjonen NSA bekrefter at virusprogrammet er produsert av dem.
Vi har tidligere skrevet om Flame og Stuxnet, som også er to svært avanserte statsproduserte virus. Men ingen av disse ser ut til å komme i nærheten av virusprogrammet Kaspersky Lab her omtaler.
Virusprogrammet aktivt siden 2001
Virusprogrammet ser ut til å ha vært aktivt siden 2001, og har siden den gang gått gjennom en rekke iterasjoner og navnendringer.
Den siste og mest avanserte utgaven av viruset heter GrayFish, og går langt for å skjule sine egne spor. GrayFish benytter seg av flere tidligere ukjente sikkerhetshull for å komme seg inn på vertssystemet, og legger seg på en skjult del av vertssystemets harddisk.
Modifiserer og infiserer harddisken
Et av virusets største teknologiske fortrinn, er muligheten til å modifisere offerets harddisk, og dermed opprette en skjult sektor på disken som ikke oppdages av verken antivirus eller operativsystem forøvrig. Inne i denne skjulte delen av harddisken gjemmer viruset seg.
Kaspersky Lab har funnet ut at viruset er i stand til å modifisere harddisker fra hele 12 forskjellige produsenter.
Siden viruset modifiserer harddiskens mest grunnleggende programvare, er det nesten umulig å bli kvitt viruset. Selv om man formaterer harddisken på øverste sikkerhetsnivå, kunne Kaspersky Lab fremdeles finne viruset på den skjulte delen av disken.
Der er dermed i de fleste tilfeller nødvendig å bytte harddisk for å bli kvitt viruset.
Clik here to view.
Akkurat hvor viruset befinner seg, kommer ikke som noen overraskelse. Selv om viruset er funnet i over 30 land og på over 500 datamaskiner, er de fleste infeksjonene avdekket i Iran, Russland, Pakistan, Afghanistan, India og Kina.
Når viruset infiserer en datamaskin, kobler det seg til en av Equation Groups 300 servere, som da blir i stand til å kontrollere den infiserte datamaskinen.
Målrettet overvåkning
Selv om dette viruset har anledning til å infisere tilfeldige datamaskiner, er det trygt å anta at viruset spres inn i miljøer hvor NSA og amerikansk etterretning har behov for å få innsikt. Med utgangspunkt i infeksjonene Kaspersky Lab har funnet, er de infiserte datamaskinene gjerne tilknyttet bransjer som telekommunikasjon, energi, etterretning, og media, og selvfølgelig myndigheter.
Datamaskiner som befinner seg i Jordan, Tyrkia og Egypt er hardkodet inn i en liste i viruset, som sier at maskinene ikke skal infiseres. I motsetning til den umålrettede masseovervåkningen som NSA de siste årene har blitt kritisert for, faller denne form for overvåkning godt innenfor NSAs arbeidsoppgaver: En etterretningsorganisasjons hovedoppgave er tross alt å skaffe informasjon om potensielle trusler mot eget land.
Man kan dermed anta at dette ikke er det den største IT-relaterte trusselen for den gjennomsnittlige nordmann. Andre former for virus og kommersielle svindlere må sies å være mer utbredt for sivile borgere.
Det er likevel interessant å se kompleksiteten til disse statsproduserte virusene, og hvor langt de er villig til å gå for å skaffe seg pålitelig etterretning.
Clik here to view.
Image may be NSFW.Clik here to view.
Image may be NSFW.Clik here to view.
Image may be NSFW.Clik here to view.
Clik here to view.