[image]https://leganerd.com/wp-content/uploads/LEGANERD_047381.jpg[/image]
Pochi giorni fa è stato rilasciato un comunicato, da parte del Kaspersky Lab, in merito ad un malware identificato nel corso di un’indagine richiesta dalla Unione Internazionale delle Telecomunicazioni (ITU). Il programma, identificato come [b]Worm.Win32.Flame[/b], è stato progettato per svolgere principalmente attività di cyber-spionaggio. È in grado di rubare informazioni importanti come screeenshot, file salvati, informazioni personali e persino conversazioni VoIP.
La ricerca è partita da ITU e Kaspersky Lab, dopo una serie di incidenti generati da un altro malware distruttivo, ancora sconosciuto ma già denominato [i]Wiper[/i], che ha cancellato dati su un notevole numero di computer presenti nella parte occidentale dell’Asia. Di questo malware si sa ancora poco ma, durante l’analisi degli incidenti emersi da quest’ultimo, è stato identificato Flame. I risultati preliminari indicano che questo worm è in circolazione da più di due anni (indicativamente da marzo del 2010).
Lo scopo principale di Flame sembra essere lo [i]spionaggio informatico[/i]. Le informazioni catturate vengono inviate (su un canale cifrato) ad una rete di server situati in diverse parti del mondo, in maniera sistematica. La diversa natura delle informazioni rubate, che può includere documenti, screenshot, conversazioni VoIP (registrate dal microfono e non sul protocollo) e intercettazioni del traffico di rete, lo rende uno dei più avanzati e completi strumenti di attacco mai scoperti. Il mezzo principale usato dal worm per diffondersi tra i PC sono le chiavette USB ma è anche in grado di diffondersi, sfruttando una vulnerabilità di Windows, nella rete locale: le stesse vulnerabilità usate dal suo probabile parente Stuxnet.
Flame, la cui vera natura è triplice Worm-Trojan-Backdoor, contiene un numero significativo di moduli ed occupa circa 20 MB di spazio, cosa molto rara per i worm standard che normalmente cercano di non dare nell’occhio (Stuxnet occupa circa 1 MB). A causa della sua dimensione e della sua complessità, è estremamente difficile da analizzare. Il motivo per cui Flame è così grande è perché include molte librerie quali, ad esempio, compressione di file (zlib, libbz2, PPMD), gestore di database (sqlite3), tutti contenuti nella macchina virtuale Lua. La parte di codice scritta in Lua, un linguaggio di scripting che può facilmente essere esteso e interfacciato con il C, è piuttosto piccola rispetto al codice generale (si stima ci siano circa 3000 linee di codice), ed è stata usata principalmente per “installarsi” sulla macchina ospite.
[more][image]https://leganerd.com/wp-content/uploads/LEGANERD_047382.png[/image][/more]
Un’altra cosa molto strana di Flame è l’uso dei dispositivi bluetooth. Quando il bluetooth è disponibile, raccoglie informazioni sui dispositivi individuabili nei pressi della macchina infetta.
[title]Ma a chi può interessare registrare tutte queste informazioni?[/title]
Attualmente ci sono tre gruppi principali che sviluppano malware e spyware: hacktivisti, i criminali informatici e le agenzie predisposte alla sicurezza nazionale. Flame non è progettato per rubare denaro dai conti bancari ed è anche diverso dai più “classici” tool di hacking e malware utilizzati dagli hacker attivisti (Anonymous, Lulzsec, milw0rm, etc.). Quindi, escludendo i criminali informatici e gli hacktivisti, si può solo ipotizzare che, molto probabilmente, appartiene al terzo gruppo. Inoltre, la posizione geografica degli obiettivi (la maggior parte degli Stati sono in Medio Oriente) e anche la complessità della minaccia non lascia alcun dubbio sul fatto che sia uno Stato (qualcuno ha detto Israele?) che ha sponsorizzato la ricerca.
Fonte:
– Flame: allarme super-virus un minaccia senza precedenti
– Kaspersky Lab and ITU Research Reveals New Advanced Cyber Threat