Flame-haittaohjelma katsottiin kuolleeksi, kun Kaspersky Lab löysi sen vuonna 2012. Mainittu virus on monimutkainen työkalujärjestelmä, joka on suunniteltu suorittamaan vakoilutoimintaa kansallisen valtion mittakaavassa. Julkisen paljastuksen jälkeen Flamen operaattorit yrittivät peittää jälkensä tuhoamalla viruksen jälkiä tartunnan saaneista tietokoneista, joista suurin osa sijaitsi Lähi-idässä ja Pohjois-Afrikassa.
Nyt Alphabetiin kuuluvan Chronicle Securityn asiantuntijat ovat löytäneet jälkiä muokatusta Flamen versiosta. Oletetaan, että hyökkääjät käyttivät troijalaista aktiivisesti vuosina 2014–2016. Tutkijat sanovat, että hyökkääjät eivät tuhonneet haittaohjelmaa, vaan suunnittelivat sen uudelleen, mikä teki siitä monimutkaisemman ja turvatoimien näkymätön.
Asiantuntijat löysivät myös jälkiä monimutkaisesta Stuxnet-haittaohjelmasta, jota käytettiin Iranin ydinohjelman sabotoimiseen vuonna 2007. Asiantuntijat uskovat, että Stuxnetilla ja Flamella on yhteisiä piirteitä, jotka voivat viitata troijalaisten ohjelmien alkuperään. Asiantuntijat uskovat, että Flame on kehitetty Israelissa ja Yhdysvalloissa ja että itse haittaohjelmaa käytettiin vakoilutoimintaan. On syytä huomata, että Flame-virus oli löytöhetkellä ensimmäinen modulaarinen alusta, jonka komponentit voitiin vaihtaa hyökkäyksen kohteena olevan järjestelmän ominaisuuksien mukaan.
Tutkijoilla on nyt käsissään uusia työkaluja, joiden avulla he voivat etsiä jälkiä menneistä hyökkäyksistä, jolloin he voivat valaista joitain niistä. Tuloksena oli mahdollista löytää tiedostoja, jotka on koottu vuoden 2014 alussa, noin puolitoista vuotta Flame-altistuksen jälkeen. On huomattava, että tuolloin mikään virustentorjuntaohjelma ei tunnistanut näitä tiedostoja haitallisiksi. Modulaarisessa troijalaisohjelmassa on monia toimintoja, jotka mahdollistavat sen vakoilutoiminnan. Se voi esimerkiksi kytkeä mikrofonin päälle tartunnan saaneessa laitteessa tallentaakseen lähellä käytäviä keskusteluja.
Valitettavasti tutkijat eivät pystyneet vapauttamaan Flame 2.0:n, vaarallisen troijalaisen ohjelman päivitetyn version, koko potentiaalia. Sen suojaamiseksi käytettiin salausta, mikä ei antanut asiantuntijoille mahdollisuuden tutkia komponentteja yksityiskohtaisesti. Siksi kysymys Flame 2.0:n jakelumahdollisuuksista ja -menetelmistä jää avoimeksi.
Lähde: 3dnews.ru