Kétségtelen, hogy a világ hálózatain javában zajlik már egyfajta kiberháború, s ha valaki nem igazán hinne ebben, elegendő megnéznie a napi biztonsági híreket. A felszínen tapasztalható, kisebb jelentőségű incidensek mellett azonban nagyobb mértékű, de csendesebben zajló, ugyanakkor sokkal veszélyesebb támadások is történnek, melyeknek már az észleléséhez is nagy felkészültség és mély szakmai ismeret kell a kiváló nemzetközi kapcsolatok mellett.

A mai nap egyik kisebbfajta, a nemzetközi biztonsági ipart is foglalkoztató híre, hogy Iránban állítólag a Duqu vírus egy újabb változatát találták meg, ám ez a híradás valószínűleg súlytalanná válik a Duqu felfedezésével világhírűvé vált magyar csapat, a BME-n tevékenykedő a CrySyS Adat- és Rendszerbiztonság Laboratórium (CrySyS Lab) egészen friss bejelentése mellett, ugyanis a magyar informatikusok egy új vírust azonosítottak (a két felfedezésnek köze van egymáshoz, úgy tűnik, azonos minták alapján írták le a vírust, vírusokat).

Magyarországi rendszerek is érintettek

Amint a CrySyS Lab honlapján írják, egy nemzetközi együttműködés keretében vettek részt egy eddig ismeretlen malware elemzésében. A csapat ezt a malware-t sKyWIper-nek nevezte el az általa használt ideiglenes fájlok elnevezése (KWI) után.

A nyilatkozat szerint a malware egyes komponenseit már korábban feltöltötték malware-analízissel foglalkozó weboldalakra európai IP-címekről. A CrySys Lab részvételét elsődlegesen az európai fenyegetettség lehetősége motiválta, s ez a feltételezés be is igazolódott, mivel később bizonyítékok igazolták Európa, azon belül is Magyarország fenyegetettségét. Az új információk arra vezették a szakembereket, a sKyWIper elemzését tartalmazó jelentést azonnal meg kell osztani a védekezésben illetékes szervekkel és cégekkel.

A jelentés szerint egy igen bonyolult, nagy rendszerek megtámadására írott adathalász vírusról van szó, mely intelligens működése folytán gyakorlatilag a kompromittált rendszer összes input és output elemét képes monitorozni, az innen megszerzett adatokat továbbítani,  és az előzetes vizsgálatok szerint a sKyWIper akár már 5-8 éve is aktív lehet. A kutatók azt feltételezik, hogy az ilyen okos malware kifejlesztéséhez szükséges erőforrások nagy valószínűséggel csak egy kormányzatnak, egy állami szervezetnek állnak a rendelkezésére, akik a vírust kiberháborús arzenáljuk egyik elemének szánták.

Ez még csak a kezdet

A CrySyS Lab közli, hogy a rendelkezésre álló idő és erőforrások szűkössége miatt az elemzés a malware átfogó működésére koncentrál, így a fókuszban a malware moduláris felépítése, az adattárolási formátumok, titkosító algoritmusok és a használt injekciós módszerek állnak. A körülmények következtében nem volt céljuk, illetve nem állt elegendő erőforrás rendelkezésükre, hogy az egyes modulokat részletesen elemezzék, a munkával inkább azt szerették volna elérni, hogy a további részletes elemzésnek biztosítsanak alapot.

A CrySyS Lab az elemzés publikálása előtt értesítette a főbb vírusvédelmi szoftvereket gyártó cégeket, a nemzetbiztonságilag is kockázatot jelentő hálózati incidensekkel foglalkozó szervezetet, a magyar CERT-et (Computer Emergency Response Team), és más illetékes szervezeteket. Emellett, a publikációval egy időben megosztották a rendelkezésükre álló malware-mintákat az említett biztonsági cégekkel, hogy a megfelelő detekciók azonnal belekerülhessenek a termékeikbe. A hatékonyabb védekezés érdekében ezt az együttműködést a jövőben is fenn kívánják tartani.