A Flame Bluetooth funkciói segíthetnek a kémeknek a helyi adatok kivonatolására, a kutatók szerint

A Flame cyberespionage malware Bluetooth funkcióját potenciálisan használhatják a fertőzött eszközök fizikai helyének meghatározására, és lehetővé tehetik a helyi támadók számára, hogy kivonják az adatokat, ha közel kerülnek az áldozatokhoz , a biztonsági megfigyelők szerint a Symantec és a Kaspersky Lab víruskereső gyártók szerint.

A láng kihasználhatja a fertőzött számítógép Bluetooth-képességeit, más közeli Bluetooth-kompatibilis eszközök, például a mobiltelefonok keresését is. A Kaspersky Lab kutatói a hétfőn .

Ez a funkció a BeetleJuice nevű lángmodulban található, a biztonsági kutatók fr om Symantec szerint egy blogbejegyzés csütörtökön. "Ha egy eszközt talál, annak állapotát lekérdezik, és a készülék rögzített adatai - ideértve annak azonosítóját - feltehetőleg feltöltésre kerülnek a támadónak."

[További olvasmány: Hogyan távolítsunk el kártékony programokat a Windows PC]

Ezeket az információkat az áldozatok szociális és szakmai körök meghatározására használhatják az idő múlásával, a rendszeres észlelési Bluetooth-eszközökkel, a Symantec kutatói szerint.

A lángokkal fertőzött számítógépek Bluetooth jelzőfényekként működnek, és lehetővé teszik más Bluetooth-eszközök számára a felfedezésüket. A jelzőfényekként a fertőzött számítógépek azt jelzik, hogy egy speciális leírás mezőn keresztül vannak telepítve a Flame malware.

Ez a funkció potenciálisan segíthet a helyi támadóknak fizikailag megtalálni a Flame-fertőzött számítógépeket egy épületen belül, hogy közvetlenül kivonhassák az adatokat ha valamilyen oknál fogva az információ nem szerezhető meg a hálózaton keresztül, Vitaly Kamluk, a Kaspersky Lab legfőbb rosszindulatú szakértője elmondta kedden.

Előfordulhat, hogy létezik olyan Flame szolgáltatás is, amely lehetővé teszi az adatgyűjtést a Bluetooth, de ennek a funkcionalitásnak a technikai bizonyítékát még nem találta meg, mondta Kamluk. Egy ilyen támadás előnyös lenne a hálózati szintű tűzfalak és biztonsági ellenőrzések megkerülésével, a Symantec kutatói szerint.

"Lehetséges, hogy a W32.Flamerben még nem fedezték fel a kódot, amely már elérte ezeket a célokat", a Symantec a kutatók szerint. "Például, bár nem találtunk hálózati kódot a" beacon "kód közelében, az egyik veszélyeztetett számítógép csatlakozhat egy másik számítógéphez a Bluetooth használatával."

A legtöbb biztonsági kutató egyetért abban, hogy a Flame valószínűleg nemzetállam által kémkedés céljára hozott létre hogy elsődleges céljai Iránból és a Közel-Kelet más országaiból származó szervezetek és egyének voltak.

Ha ez az elmélet helyes lenne, meglehetősen ésszerűen feltételezhetjük, hogy egy ilyen nemzetállam is rendelkezhet intelligenciaeszközökkel vagy szövetkezetekkel ezeken a régiókon, akik fizikailag közel lehetnek az áldozatokhoz, hogy kapcsolatba léphessenek Flame-fertőzött laptopjaikkal a Bluetooth segítségével.

Előfordulnak precedensek a nemzetállamok részvételére a közel-keleti országokban elkövetett rosszindulatú támadásokban. A The New York Times pénteki jelentése szerint az amerikai elnök Barack Obama elrendelte a Stuxnet internetes támadásait Iránnal szemben az ország nukleáris programjának károsítása érdekében.

Egyes Bluetooth-támadásoknak még a közelséghez sem kell közel járniuk. 2004-ben a Defcon hacker konferencia alkalmával a kutatók olyan mesterlövész pisztolyszerű készüléket mutattak be, amely több mint egy kilométeres távolságból csatlakozhat a rendszeresen működő, Bluetooth-kompatibilis mobiltelefonokhoz.

A Flame Bluetooth funkcióinak további felhasználása lehet a lehallgatás magánbeszélgetéseken, a Symantec kutatói szerint. "Csatlakoztasson egy kompromittált számítógépet egy közeli eszközhöz, és engedélyezze a kihangosított kommunikációt." Amikor a készüléket egy tárgyalóba helyezték, vagy hívás közben használták, a támadók hallgathattak. "

Mindezek az elméletek olyan gyakorlati támadásokról számolnak be, amelyek jól illeszkednének a képzett támadók képességeire, mint például a Flame-t létrehozó, a Symantec kutatói. "A W32.Flamer talán az egyetlen olyan Windows-alapú fenyegetés, melyet észleltünk, amely Bluetooth-ot használ."