miniFlame, un program malware compact si foarte flexibil

Kaspersky Lab anunta descoperirea lui miniFlame, un program malware compact si foarte flexibil creat pentru a fura informatii si pentru a controla sistemele infectate in cadrul operatiunilor de spionaj cibernetic cu tinta predefinita.

miniFlame, cunoscut si ca „SPE", a fost descoperit de expertii Kaspersky Lab in luna iulie 2012 si a fost initial identificat ca un modul al virusului Flame. Insa, in luna septembrie, echipa de cercetare a Kaspersky Lab a derulat o analiza amanuntita a serverelor de comanda si control ale programului malware Flame, care a relevat ca modulul miniFlame este de fapt un instrument interoperabil, care putea fi utilizat fie ca program de sine statator, fie, concomitent, ca plug-in pentru programele malware Flame si Gauss.

Analiza programului miniFlame a mai relevat ca au fost create mai multe versiuni ale acestuia intre 2010 si 2011, cateva dintre variante fiind in continuare active. Cercetarea a descoperit si noi dovezi de colaborare intre creatorii Flame si Gauss, avand in vedere faptul ca ambele programe pot utiliza miniFlame ca "plug-in" pentru operatiunile lor.

Principalele descoperiri:

• miniFlame, cunoscut si ca „SPE", are la baza aceeasi platforma arhitecturala ca Flame. Poate functiona ca un program de spionaj cibernetic de sine statator sau ca si componenta pentru Flame, cat si pentru Gauss.
• Instrumentul de spionaj cibernetic functioneaza atat ca o cale de acces direct la sistemele infectate, cat si ca o metoda de furt de informatii.
• Este posibil ca dezvoltarea lui miniFlame sa fi inceput in 2007 si sa fi continuat pana la sfarsitul anului 2011. Se presupune ca ar fi fost create mai multe versiuni ale programului. Pana in prezent, Kaspersky Lab a identificat sase variante, corespunzatoare pentru doua generatii majore: 4.x si 5.x.
• Spre deosebire de Flame si Gauss, care au cauzat un numar mare de infectii, numarul de sisteme afectate de miniFlame este mult mai mic. Potrivit datelor Kaspersky Lab, 10-20 de calculatoare au fost infectate cu miniFlame. Numarul total de infectii la nivel mondial este estimat la 50-60, tintele atacurilor fiind probabil de mare importanta.
• Numarul de infectii provocate de miniFlame combinat cu aplicatiile de furt al informatiilor si designul flexibil indica faptul ca a fost utilizat pentru operatiuni de spionaj cibernetic cu tinte bine definite si a fost, cel mai probabil, „plantat" in interiorul sistemelor care au fost deja infectate cu Flame sau Gauss.

Descoperire

miniFlame a fost descoperit in timpul analizei in profunzime a programelor malware Flame si Gauss. In iulie 2012, expertii Kaspersky Lab au identificat un modul aditional al Gauss, denumit codat „John" si au gasit referinte ale aceluiasi modul in fisierele de configurare ale Flame.

Analiza ulterioara a serverelor de comanda si control ale programului Flame, desfasurata in septembrie 2012, a ajutat la dezvaluirea faptului ca modulul nou descoperit a fost, de fapt, un program malware separat, desi poate fi folosit si ca un "plug-in", atat de catre Gauss, cat si de Flame. miniFlame este denumit „SPE" in codul serverelor originale de control si comandă ale programului Flame.

Kaspersky Lab a descoperit sase variante diferite ale lui miniFlame, toate datand din 2010-2011. In plus, analiza programului miniFlame arata ca acest malware a fost conceput inca din 2007. Abilitatea lui miniFlame de a fi utilizat pe post de plug-in, fie de catre Flame sau de Gauss, arata in mod clar conexiunea dintre echipele de dezvoltare ale programelor Flame si Gauss. Avand in vedere faptul ca legatura dintre Flame si Stuxnet/Duqu a fost deja dezvaluita, se poate concluziona ca toate aceste amenintari avansate provin de la acelasi furnizor de arme cibernetice.

Functionalitate

Vectorul original de infectie al miniFlame nu a fost descoperit inca. Data fiind legatura dintre miniFlame, Flame si Gauss, miniFlame poate fi instalat pe computerele infectate deja de Flame si de Gauss. Odata instalat, miniFlame opereaza ca o cale de acces si ofera infractorilor cibernetici posibilitatea de a accesa orice fisier din computerul infectat. Printre instrumentele de furt al informatiilor sunt incluse realizarea de capturi de ecran in timp ce sunt rulate anumite programe sau aplicatii, precum un web browser, programul Microsoft Office, Adobe Reader, un serviciu de mesagerie instanta sau un client FTP. miniFlame incarca datele furate conectandu-se la serverele sale de control si comanda (care pot fi de sine statatoare sau comune cu serverele Flame). In plus, la cererea operatorului serverelor miniFlame, un modul suplimentar de furt al datelor poate fi trimis intr-un sistem infectat, pentru a afecta driver-ele USB si pentru a le folosi pentru stocarea datelor colectate de la dispozitivele infectate, fara a fi necesara conexiunea la internet.

„miniFlame este o unealta de atac de mare precizie," a comentat Alexander Gostev, Chief Security Expert la Kaspersky Lab. „Cel mai probabil, este o armă cibernetica cu tinta clara, utilizata in ceea ce poate fi definit ca un al doilea val al unui atac cibernetic. In primul rand, programele Flame sau Gauss sunt folosite pentru a infecta cat mai multe victime, cu scopul de a colecta mari cantitati de informatie. Dupa ce informatiile sunt colectate si revizuite, o tinta care prezinta interes este definita si identificata, iar miniFlame este instalat pentru o supraveghere mai in profunzime si actiuni de spionaj cibernetic. Descoperirea programului miniFlame ne ofera dovezi suplimentare cu privire la cooperarea dintre creatorii celor mai daunatoare programe ale operatiunilor de razboi cibernetic: Stuxnet, Duqu, Flame şi Gauss", a adaugat Alexander Gostev.

Kaspersky Lab multumeste CERT-Bund/BSI pentru ajutorul oferit in desfasurarea acestei investigatii.