Pas nu wordt duidelijk dat op Iraanse computers – maar ook elders – al jarenlang een complex virus opereert, Flame, dat veel meer doet dan informatie vernietigen
De meeste digitale virussen zijn maar enkele honderden bytes groot. Het beruchte Stuxnet, waardoor het Iraanse nucleaire project werd geteisterd, was ongeveer een megabyte, maar Worm.Win32. Flame, zoals de technische naam luidt, kortweg ‘Flame’, heeft een omvang van twintig megabyte. Dat is voor een computervirus enorm en daarom is het zo opvallend dat het pas recentelijk is gedetecteerd, een succes van de Russische firma Kaspersky Labs die in april was gealarmeerd omdat er aanwijzingen waren dat er informatie van het Iraanse olie-ministerie was gestolen. Volgens het Laboratorium van Cryptografie en Systeem Zekerheid (CrySys, in de Engelstalige afkorting) in Boedapest is het virus misschien al vijf tot acht jaar actief en zo complex dat het alleen door een organisatie met veel mankracht en geld kan zijn gemaakt; voor gewone cybercriminelen is de software te ingewikkeld. Het is dus geen wonder dat Teheran deze week met de vinger naar Israël en de Verenigde Staten wees.
De Iraanse beschuldiging leek te worden bevestigd door een uitspraak van vice-premier Ya’alon, die dinsdagochtend zei dat het Iraanse nucleaire programma ‘alle middelen rechtvaardigt, ook geavanceerde computervirussen’, maar deze ‘schuldbekentenis’ trok hij later die dag min of meer in door te zeggen dat Israël bij lange na niet het enige land is dat bang is voor het Iraanse kernprogramma.
Volgens Vitaly Kamluk van Kaspersky Labs is er geen definitief bewijs dat op bepaalde makers wijst, hoewel de algemene verdenking uitgaat naar de Israëlische en Amerikaanse inlichtingendiensten, die beide hun belangen hebben in de regio.
Vernuftig
Veel virussen zijn vooral destructief, maar Flame kan meer: het kan enorme hoeveelheden informatie van computers afhalen, foto’s maken van een beeldscherm (screen shots), via het geluidssysteem van computers gesprekken in de buurt van de computer en Skype-conversatie afluisteren, via het protocol Bluetooth mobiele telefoons en laptops opsporen, e-mails lezen, gebruikersnamen en wachtwoorden op lokale netwerken onderscheppen. Het virus is zo vernuftig dat het zijn eigen verspreiding onder controle houdt om snelle detectie te verhinderen. Een ander talent van Flame is dat het zichzelf van leeggeplunderde computers kan verwijderen en geen of weinig sporen nalaat. Volgens CrySys is de grote afmeting van Flame zelfs gunstig, omdat de meeste antivirusprogramma’s naar kleine hoeveelheden code zoeken.
Er zijn tot nu toe minder dan 400 infecties geregistreerd, waarvan 189 in Iran; doelwit lijken eerder individuen dan organisaties. Het opvallende aan Flame is dat het niet alleen computers in Iran besmette, volgens computerblad Wired, maar ook in Soedan, Egypte, Libanon, Syrië, Saoedi-Arabië en de Palestijnse gebieden – het werkterrein van Flame is een groot deel van het Midden-Oosten, zo lijkt het. Volgens CrySys kan het al vanaf 2007 actief zijn geweest, Kaspersky suggereert 2010.
In zekere zin is de werkwijze van Flame ‘ouderwets’. De meeste virussen zijn gericht op het stelen van specifieke gegevens, maar Flame sleept enorme hoeveelheden data mee, die dan elders rustig kunnen worden nagevlooid – je weet als inlichtingdienst niet altijd precies wat je zoekt. ‘Vroeger’, in de romantische tijd van fysieke inbraken (Watergate!) en zaklantaarns, namen spionnen hele dossiers mee en keken ze thuis wel wat ze aantroffen, en met Flame hebben we de digitale variant daarvan.
Flame wordt vermoedelijk via een usbstick op een machine geïntroduceerd, of via een andere mobiel station, waarna de software via een van de talloze servers op aarde extra modules naar keuze laadt, afhankelijk van de spionage-operatie in kwestie. Deze techniek lijkt op die van Stuxnet (dat in 2009 en 2010 een ravage aanrichtte op Iraanse computers), maar vergelijking van de codes van Stuxnet en Flame laat vooral veel verschillen zien. Delen van het virus zijn in LUA geprogrammeerd, een taal die doorgaans voor games wordt gebruikt.
Dreiging
Eugene Kaspersky, de Russische virus-expert, zei dat een cyberwapen als Flame, ‘een van de meest complexe dreigingen ooit ontdekt’, tegen ieder land kan worden gebruikt en dat het nadeel van de ontdekking van Flame is dat het nu kan worden gekopieerd, hoewel dat door de zelfdestructieve talenten van Flame niet eenvoudig is. Ook Kaspersky denkt dat Flame al van 2007 kan dateren, toen ook Stuxnet en het verwante DuQu werden gecreëerd. Complete analyse van het virus kan nog wel tien jaar in beslag nemen, volgens Alexander Gostev van Kaspersky Lab. „Stuxnet kostte al een half jaar en dit is twintig keer zo ingewikkeld,” zei hij tegen Wired.