Dziś mamy już dostępne dokładne analizy budowy Stuxneta i Duqu. Pełne rozpoznanie Flamera może zająć jeszcze kilka miesięcy: wydaje się, że jest on znacznie bardziej skomplikowany i rozbudowany. Specjaliści od bezpieczeństwa podejrzewają, że Flamer powstał w tym samym celu i w wyniku tego samego zamówienia co Stuxnet i Duqu, tylko w innej grupie programistów (patrz ramka "Stuxnet powstał na rozkaz prezydenta"). Metoda budowy Flamera, poza modułowością, jest jednak całkiem inna.

Flamer

Binaria Flamera są 20-krotnie większe niż Stuxneta. Wirus zawiera ok. 20 ładowalnych modułów z możliwością ich aktualizacji i podmiany (do dziś nie jest znane przeznaczenie pięciu z nich). Do zapisywania skradzionych danych używa SQLlite, do wykonywania poleceń języka LUA. Korzysta z pięciu typów plików i pięciu algorytmów szyfrowania danych, a infekcja realizowana jest za pomocą zawirusowanych plików DOC, PDF lub AutoCAD.

Majstersztykiem było zdobycie (lub podrobienie z wykorzystaniem ataku kolizji skrótu) przez jego twórców certyfikatów Microsoftu i wykorzystanie podatności mechanizmu Windows Update do infekowania komputerów, które mogą być w pełni zaktualizowane. Na razie nie wiadomo, czy zawierał funkcjonalności uszkadzające SCADA lub konkretne urządzenia, pewne jest jednak, że niezbędne do tego komendy mogłyby być pobrane z hostów wskazanych jako C&C. Hosty C&C w Internecie, podobnie jak w przypadku Stuxnet i Duqu, były wyłącznie maszynami służącymi do przekierowania komunikacji do właściwych komputerów sterujących.

O zaawansowaniu wirusa niech świadczy fakt, że potrafił aktywować i skanować za pomocą Bluetooth telefony znajdujące się w pobliżu oraz nagrywać dźwięk i obraz za pomocą wbudowanej w zaatakowany komputer kamery. Oczywiście miał również moduły odpowiedzialne za replikację, tworzenie bramy do internetu, wykrywanie oprogramowania antywirusowego itp.

W przypadku ataku w Iranie Flamer przyczynił się do likwidacji danych z komputerów w Ministerstwie ds. Ropy oraz w kilku naftoportach. Pierwsze pliki związane z Flamerem zostały zauważone w 2007 roku, podejrzewa się jednak, że działał już 2 lata wcześniej. Pod koniec kwietnia br. ostatnie z działających serwerów C&C wysłały do wirusa polecenie samozniszczenia.

Skoro bitwa toczy się jak na razie pomiędzy Stanami Zjednoczonymi a Iranem, to czy należy się tym przejmować tu, w środkowej części Europy? Nasz problem polega na tym, że otwarta została puszka Pandory. Wirusy udowodniły skuteczność działań dywersyjnych prowadzonych w cyberprzestrzeni. Skoro udało się przeprowadzić udane ataki, nie narażając się przy tym na konsekwencje, to podobne przypadki będą się stawały coraz częstsze. Przez to z kolei technologie używane do ich konstruowania staną się coraz doskonalsze i tańsze, a im tańsza technologia, tym szybciej zostanie ona zaadaptowana przez grupy terrorystyczne i ekstremistyczne. Ponadto konwencjonalny atak rakietowy ma tę cenną właściwość, że rakieta w trakcie lądowania wraz z celem unicestwia również dane o sobie, wirusy natomiast dają się przechwycić. Wystarczy odbudować kod z binariów, załadować nowymi modułami i broń jest gotowa do kontrataku.

Proste ataki na systemy SCADA wymagają wiedzy o wiele mniej tajemnej niż uszkodzenie wirówki; wystarczy bowiem oprzeć się na podatnościach biznesowych systemów operacyjnych i bazodanowych, powodując np. ich unieruchomienie. Można się spodziewać, że terroryści zrezygnują z podkładania bomb na pokłady samolotów, jeśli będą mogli zaatakować systemy informatyczne na lotnisku i tam spowodować katastrofę.