Kaspersky Lab a descoperit „miniFlame”, un nou malware creat pentru operaţiunile de spionaj cibernetic
CUMPARATI ONLINE |
Produse Kaspersky |
miniFlame, cunoscut şi ca „SPE”, a fost descoperit de experţii Kaspersky Lab în luna iulie 2012 şi a fost initial identificat ca un modul al virusului Flame. Însă, în luna septembrie echipa de cercetare a Kaspersky Lab a derulat o analiză amănunţită a serverelor de comandă şi control ale programului malware Flame, care a relevat că modulul miniFlame este de fapt un instrument interoperabil, care putea fi utilizat fie ca program de sine stătător fie, concomitent, ca plug-in pentru programele malware Flame şi Gauss.
Analiza programului miniFlame a mai relevat că au fost create mai multe versiuni ale acestuia între 2010 şi 2011, câteva dintre variante fiind în continuare active. Cercetarea a descoperit şi noi dovezi de colaborare între creatorii Flame şi Gauss, având în vedere faptul că ambele programe pot utiliza miniFlame ca “plug-in” pentru operaţiunile lor.
Principalele descoperiri:
- miniFlame, cunoscut şi ca „SPE”, are la bază aceeaşi platformă arhitecturală ca Flame. Poate funcţiona ca un program de spionaj cibernetic de sine stătător sau ca şi componentă pentru Flame, cât şi pentru Gauss.
- Instrumentul de spionaj cibernetic funcţionează atât ca o cale de acces direct la sistemele infectate, cât şi ca o metodă de furt de informaţii.
- Este posibil ca dezvoltarea lui miniFlame să fi început în 2007 şi să fi continuat până la sfârşitul anului 2011. Se presupune că ar fi fost create mai multe versiuni ale programului. Până în prezent, Kaspersky Lab a identificat şase variante, corespunzătoare pentru două generaţii majore: 4.x şi 5.x.
- Spre deosebire de Flame şi Gauss, care au cauzat un număr mare de infecţii, numărul de sisteme afectate de miniFlame este mult mai mic. Potrivit datelor Kaspersky Lab, 10-20 de calculatoare au fost infectate cu miniFlame. Numărul total de infecţii la nivel mondial este estimat la 50-60, tintele atacurilor fiind probabil de mare importanta.
- Numărul de infecţii provocate de miniFlame combinat cu aplicaţiile de furt al informaţiilor şi designul flexibil indică faptul că a fost utilizat pentru operaţiuni de spionaj cibernetic cu ţinte bine definite şi a fost, cel mai probabil, „plantat” în interiorul sistemelor care au fost deja infectate cu Flame sau Gauss.
Descoperire
miniFlame a fost descoperit în timpul analizei în profunzime a programelor malware Flame şi Gauss. În iulie 2012, experţii Kaspersky Lab au identificat un modul adiţional al Gauss, denumit codat „John” şi au găsit referinţe ale aceluiaşi modul în fişierele de configurare ale Flame.
Analiza ulterioară a serverelor de comandă şi control ale programului Flame, desfăşurată în septembrie 2012, a ajutat la dezvăluirea faptului că modulul nou descoperit a fost, de fapt, un program malware separat, deşi poate fi folosit şi ca un "plug-in", atât de către Gauss, cât şi de Flame. miniFlame este denumit „SPE” în codul serverelor originale de control şi comandă ale programului Flame.
Kaspersky Lab a descoperit şase variante diferite ale lui miniFlame, toate datând din 2010-2011. În plus, analiza programului miniFlame arată că acest malware a fost conceput încă din 2007. Abilitatea lui miniFlame de a fi utilizat pe post de plug-in, fie de către Flame sau de Gauss, arată în mod clar conexiunea dintre echipele de dezvoltare ale programelor Flame şi Gauss. Având în vedere faptul că legătura dintre Flame şi Stuxnet/Duqu a fost deja dezvăluită, se poate concluziona că toate aceste ameninţări avansate provin de la acelaşi furnizor de arme cibernetice.
Funcţionalitate
Vectorul original de infecţie al miniFlame nu a fost descoperit încă. Dată fiind legătura dintre miniFlame, Flame şi Gauss, miniFlame poate fi instalat pe computerele infectate deja de Flame şi de Gauss. Odată instalat, miniFlame operează ca o cale de acces şi oferă infractorilor cibernetici posibilitatea de a accesa orice fişier din computerul infectat. Printre instrumentele de furt al informaţiilor sunt incluse realizarea de capturi de ecran în timp ce sunt rulate anumite programe sau aplicaţii, precum un web browser, programul Microsoft Office, Adobe Reader, un serviciu de mesagerie instantă sau un client FTP. miniFlame încarcă datele furate conectându-se la serverele sale de control şi comandă (care pot fi de sine stătătoare sau comune cu serverele Flame). În plus, la cererea operatorului serverelor miniFlame, un modul suplimentar de furt al datelor poate fi trimis într-un sistem infectat, pentru a afecta driver-ele USB şi pentru a le folosi pentru stocarea datelor colectate de la dispozitivele infectate, fără a fi necesară conexiunea la internet.
„miniFlame este o unealtă de atac de mare precizie,” a comentat Alexander Gostev, Chief Security Expert la Kaspersky Lab. „Cel mai probabil, este o armă cibernetică cu ţintă clară, utilizată în ceea ce poate fi definit ca un al doilea val al unui atac cibernetic. În primul rând, programele Flame sau Gauss sunt folosite pentru a infecta cât mai multe victime, cu scopul de a colecta mari cantităţi de informaţie. După ce informaţiile sunt colectate şi revizuite, o ţintă care prezintă interes este definită şi identificată, iar miniFlame este instalat pentru o supraveghere mai în profunzime şi acţiuni de spionaj cibernetic. Descoperirea programului miniFlame ne oferă dovezi suplimentare cu privire la cooperarea dintre creatorii celor mai dăunătoare programe ale operaţiunilor de război cibernetic: Stuxnet, Duqu, Flame şi Gauss.”, a adăugat Alexander Gostev.
Kaspersky Lab mulţumeşte CERT-Bund/BSI pentru ajutorul oferit în desfăşurarea acestei investigaţii.
Detalii suplimentare despre miniFlame puteţi găsi în acest articol publicat pe blogul Securelist.com:
http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_and_his_friends
Raportul complet despre miniFlame poate fi găsit aici:
http://www.securelist.com/en/analysis/204792247/miniFlame_aka_SPE_Elvis_and_his_friends
# # #
Despre Kaspersky Lab
Kaspersky Lab este cel mai mare producator privat de solutii de securitate endpoint din lume, fiind inclus in topul primilor patru producatori de solutii pentru protectie endpoint la nivel mondial*. Pe parcursul celor 15 ani de existenta, Kaspersky Lab a ramas o companie inovatoare in domeniul securitatii informatice si ofera suite de protectie IT pentru utilizatori individuali, SMB si companii mari. Compania este prezenta in aproximativ 200 de tari si teritorii, la nivel global, protejeazand peste 300 de milioane de utilizatori din intreaga lume. Pentru mai multe informatii, vizitati www.kaspersky.ro.
* Compania a fost pozitionata pe locul patru in clasamentul IDC „Worldwide Endpoint Security Revenue by Vendor, 2011”. Clasamentul a fost publicat in raportul IDC „Worldwide Security Endpoint Products 2012-2016 Forecast and 2011 Vendor Shares” (IDC #235930, iulie 2012). Criteriile de clasificare s-au bazat pe veniturile obtinute din vanzarile de solutii de securitate endpoint in 2011.