Kaspersky Lab a descoperit „miniFlame”, un nou malware creat pentru operaţiunile de spionaj cibernetic

Kaspersky Lab anunţă descoperirea lui miniFlame, un program malware compact şi foarte flexibil creat pentru a fura informaţii şi pentru a controla sistemele infectate în cadrul operaţiunilor de spionaj cibernetic cu ţintă predefinită.

miniFlame, cunoscut şi ca „SPE”, a fost descoperit de experţii Kaspersky Lab în luna iulie 2012 şi a fost initial identificat ca un modul al virusului Flame. Însă, în luna septembrie echipa de cercetare a Kaspersky Lab a derulat o analiză amănunţită a serverelor de comandă şi control ale programului malware Flame, care a relevat că modulul miniFlame este de fapt un instrument interoperabil, care putea fi utilizat fie ca  program de sine stătător fie, concomitent, ca plug-in pentru programele malware Flame şi Gauss.

Analiza programului miniFlame a mai relevat că au fost create mai multe versiuni ale acestuia între 2010 şi 2011, câteva dintre variante fiind în continuare active. Cercetarea a descoperit şi noi dovezi de colaborare între creatorii Flame şi Gauss, având în vedere faptul că ambele programe pot utiliza miniFlame ca “plug-in” pentru operaţiunile lor.

Principalele descoperiri:

  •  miniFlame, cunoscut şi ca „SPE”, are la bază aceeaşi platformă arhitecturală ca Flame. Poate funcţiona ca un program de spionaj cibernetic de sine stătător sau ca şi componentă pentru Flame, cât şi pentru Gauss.
  • Instrumentul de spionaj cibernetic funcţionează atât ca o cale de acces direct la sistemele infectate, cât şi ca o metodă de furt de informaţii.
  • Este posibil ca dezvoltarea lui miniFlame să fi început în 2007 şi să fi continuat până la sfârşitul anului 2011. Se presupune că ar fi fost create mai multe versiuni ale programului. Până în prezent, Kaspersky Lab a identificat şase variante, corespunzătoare pentru două generaţii majore: 4.x şi 5.x.
  • Spre deosebire de Flame şi Gauss, care au cauzat un număr mare de infecţii, numărul de sisteme afectate de miniFlame este mult mai mic. Potrivit datelor Kaspersky Lab, 10-20 de calculatoare au fost infectate cu miniFlame. Numărul total de infecţii la nivel mondial este estimat la 50-60, tintele atacurilor fiind probabil de mare importanta.
  • Numărul de infecţii provocate de miniFlame combinat cu aplicaţiile de furt al informaţiilor şi designul flexibil indică faptul că a fost utilizat pentru operaţiuni de spionaj cibernetic cu ţinte bine definite şi a fost, cel mai probabil, „plantat” în interiorul sistemelor care au fost deja infectate cu Flame sau Gauss.

Descoperire

 miniFlame a fost descoperit în timpul analizei în profunzime a programelor malware Flame şi Gauss. În iulie 2012, experţii Kaspersky Lab au identificat un modul adiţional al Gauss, denumit codat „John” şi au găsit referinţe ale aceluiaşi modul în fişierele de configurare ale Flame.

Analiza ulterioară a serverelor de comandă şi control ale programului Flame, desfăşurată în septembrie 2012, a ajutat la dezvăluirea faptului că modulul nou descoperit a fost, de fapt, un program malware separat, deşi poate fi folosit şi ca un “plug-in”, atât de către Gauss, cât şi de Flame. miniFlame este denumit „SPE” în codul serverelor originale de control şi comandă ale programului Flame.

Kaspersky Lab a descoperit şase variante diferite ale lui miniFlame, toate datând din 2010-2011. În plus, analiza programului miniFlame arată că acest malware a fost conceput încă din 2007. Abilitatea lui miniFlame de a fi utilizat pe post de plug-in, fie de către Flame sau de Gauss, arată în mod clar conexiunea dintre echipele de dezvoltare ale programelor Flame şi Gauss. Având în vedere faptul că legătura dintre Flame şi Stuxnet/Duqu a fost deja dezvăluită, se poate concluziona că toate aceste ameninţări avansate provin de la acelaşi furnizor de arme cibernetice.

Funcţionalitate

 Vectorul original de infecţie al miniFlame nu a fost descoperit încă. Dată fiind legătura dintre miniFlame, Flame şi Gauss, miniFlame poate fi instalat pe computerele infectate deja de Flame şi de Gauss. Odată instalat, miniFlame operează ca o cale de acces şi oferă infractorilor cibernetici posibilitatea de a accesa orice fişier din computerul infectat. Printre instrumentele de furt al informaţiilor sunt incluse realizarea de capturi de ecran în timp ce sunt rulate anumite programe sau aplicaţii, precum un web browser, programul Microsoft Office, Adobe Reader, un serviciu de mesagerie instantă sau un client FTP. miniFlame încarcă datele furate conectându-se la serverele sale de control şi comandă (care pot fi de sine stătătoare sau comune cu serverele Flame). În plus, la cererea operatorului serverelor miniFlame, un modul suplimentar de furt al datelor poate fi trimis într-un sistem infectat, pentru a afecta driver-ele USB şi pentru a le folosi pentru stocarea datelor colectate de la dispozitivele infectate, fără a fi necesară conexiunea la internet.

„miniFlame este o unealtă de atac de mare precizie,” a comentat Alexander Gostev, Chief Security Expert la Kaspersky Lab. „Cel mai probabil, este o armă cibernetică cu ţintă clară, utilizată în ceea ce poate fi definit ca un al doilea val al unui atac cibernetic. În primul rând, programele Flame sau Gauss sunt folosite pentru a infecta cât mai multe victime, cu scopul de a colecta mari cantităţi de informaţie. După ce informaţiile sunt colectate şi revizuite, o ţintă care prezintă interes este definită şi identificată, iar miniFlame este instalat pentru o supraveghere mai în profunzime şi acţiuni de spionaj cibernetic. Descoperirea programului miniFlame ne oferă dovezi suplimentare cu privire la cooperarea dintre creatorii celor mai dăunătoare programe ale operaţiunilor de război cibernetic: Stuxnet, Duqu, Flame şi Gauss.”, a adăugat Alexander Gostev.

Kaspersky Lab mulţumeşte CERT-Bund/BSI pentru ajutorul oferit în desfăşurarea acestei investigaţii.

Detalii suplimentare despre miniFlame puteţi găsi în acest articol publicat pe blogul Securelist.com:

http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_and_his_friends

Raportul complet despre miniFlame poate fi găsit aici:

http://www.securelist.com/en/analysis/204792247/miniFlame_aka_SPE_Elvis_and_his_friends

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

5 responses to “Kaspersky Lab a descoperit „miniFlame”, un nou malware creat pentru operaţiunile de spionaj cibernetic”

  1. äleph

    Lamureste-ma, te rog, cu privire la urmatoarea situatie: se intimpla uneori ca antivirusul (avira internet security)sa se blocheze in timpul scanarii (procesorul ïnghetat la 50%). Ce anume determina acest lucru? Multumesc!

  2. äleph

    Voi raspunde punctual :
    – timpul se prelungeste indefinit, astfel incat este necesara repornirea calculatorului
    – versiunea instalata este 2013
    – procesorul este Intel T2130/1,87 GHz la 2 Gb

  3. Gabriel

    scaneaza mai bine HDD daca are erori cu HDTune

  4. aleph

    Tot ceea ce povestesc este valabil exclusiv pt avira. Nu am avut situatii similare pt celelalte programe instalate.
    Ps: nu apar erori dupa scanarea cu HDTune

Leave a Reply