Ny Stuxnetliknande mask upptäckt

Flera olika säkerhetsföretag rapporterar att de upptäckt en ny Stuxnet-liknande mask. Enligt uppgifter ska masken, som kallas Flame, vara en industrispionagemask riktad mot industrier i Mellanöstern. Enligt organisationen Maher, den Iranska it-krismyndigheten, kan masken varit orsaken till att data nyligen försvunnit i Iran, men specificerar inte vilken typ av data det handlar om.

Maher misstänker att masken har släktskap med de tidigare liknande spionprogrammen Stuxnet och Duqu. En analys från säkerhetsföretaget Kaspersky bekräftar misstanken, men uppger att Flame är betydligt mer komplicerat än både Stuxnet och Duqu. Det märks inte minst på storleken på masken, 20 megabyte, att jämföra med Stuxnet och Duqu som vardera var omkring 500 kilobyte, vilket i sig anses vara stort för att vara en mask.

Enligt Kaspersky har Flame betydligt fler attackverktyg inbyggda och består av flera olika individuella moduler. Den kan genomföra flera olika typer av attacker, varav de flesta syftar till att stjäla data och spionera. Bland många andra saker kan masken exempelvis använda en dators mikrofon för att spela in konversationer, ta skärmdumpar av specifika applikaitoner när de används, registrera tangentbordstryckningar, kapa nätverkstrafiken och kommunicera med aktiva bluetoothenheter inom räckhåll.

Enligt Kaspersky ska den första versionen av masken troligtvis vara programmerad 2010 och därefter har de olika attackverktygen byggts in genom att de enskilda modulerna byggts in. Liksom masken Duqu är även Flame programmerad i ett ovanligt språk för sitt syfte. Enligt Kaspersky är masken skriven i Lua, ett programmeringsspråk som ofta används inom spelindustrin, men som aldrig tidigare stötts på i en mask av Flames slag.