Den skadliga spionprogramvaran Flame, som infekterade datorer i Iran 2012, uppnådde matematiska genombrott som bara kunde ha utförts av kryptografer av världsklass, menade två av världens främsta krypteringsexperter:
Vi har bekräftat att den skadliga koden Flame använder en ännu okänd MD5 kollisionsattack med valt-prefix.
Skrev Marc Stevens i ett e-postmeddelande som skickades till en diskussionsgrupp om kryptografi tidigare i föregånde vecka. ”Kollisionsattacken i sig är mycket intressant från en vetenskaplig synvinkel och det finns redan några praktiska slutsatser.” Benne de Weger, en kollega till Stevens, och en annan expert på kryptografiska kollisionsattacker, som informerades om resultaten, var eniga.
”Kollisions”-attack, då två olika källor av klartext genererar identiska kryptografiska hash, har sedan länge funnits i teorin. Men det var inte förrän sent under 2008 som ett forskarteam utförde ett fullständigt praktiskt sådant. Genom att använda ett nätverk av 200 PlayStation 3-konsoler för att hitta kollisioner i MD5 algoritmen — och att utnyttja svagheterna i sättet på vilket SSL-certifikat utfärdades — som de konstruerade en falsk-certifikatutfärdare, som var betrodd av alla större browsers och operativsystem. Stevens, från Centrum Wiskunde & Informatica i Amsterdam, och de Weger, vid Technische Vrije Universiteit Eindhoven, var två av de sju drivkrafterna bakom forskningen som gjorde 2008-attacken möjligt.
Flame är det första kända exemplet på en MD5 kollisionsattack, som använts i elakt uppsåt i en verklig miljö. Det hanterade esoterisk teknik för att digitalt signera skadlig kod med ett falskt intyg som verkade ha sitt ursprung hos Microsoft. Genom att distribuera falska servrar i nätverk som var värdar för datorer som redan var smittade av Flame — och genom att använda certifikaten för att signera moduler i Flame — kunde den skadliga programvaran kapa Windows uppdateringsmekanism som Microsoft använder för att distribuera korrigeringsfiler till hundratals miljoner kunder.
Enligt Stevens och de Weger är kollisionsattackerna utförda av Flame en ny betydande vetenskaplig upptäckt. De kom till denna slutsats efter att Stevens använt ett anpassat kriminaltekniskt verktyg som han utvecklat för att upptäcka och analysera hash-kollisioner.
Ännu intressantare är att resultaten har visat, att våra publicerade kollisionsattacker med vald-prefix inte användes, utan en helt ny och okänd variant”, skrev Stevens i ett uttalande som distribuerades under torsdagen. ”Detta har lett till vår slutsats att utformningen av Flame är delvis baserat kryptoanalys av världsklass. Ytterligare forskning kommer att utföras för att rekonstruera hela kollisionsattacken med vald-prefix, som planerades för Flame.
Analysen förstärker teorier som forskare från Kaspersky Lab, CrySyS Lab och Symantec publicerade för nästan två veckor sedan. Nämligen att Flame kan enbart ha utvecklats med stöd av en välbärgad nationsstat.