Si chiama Flame ed è un malware di ultima generazione utilizzato per compiere cyberattacchi contro le banche dati di diversi paesi, inclusi Israele e Iran. Lo ha riferito alla BBC la società Kaspersky Lab, aggiungendo che Flame è operativo dall'agosto del 2010 e rappresenta "una delle minacce più complesse mai scoperte". Secondo l'azienda, che ha compiuto delle ricerche in collaborazione con l'ITU delle Nazioni Unite, gli attacchi sono stati sicuramente condotti con l'appoggio di qualche Stato, anche se non si può essere sicuri sulla sua provenienza.
Il Flame è stato scoperto mentre si stava indagando su un altro malware, il trojan Wiper, che aveva infettato molti computer dell'Asia dell'ovest. Questa nuova minaccia non causa danni "fisici" agli elaboratori, ma colleziona un'enorme mole di informazioni sensibili. "Una volta infettato il sistema, Flame inizia una serie di operazioni, come quella di sniffare il traffico sulla rete, prendere degli screenshot, registrare conversazioni audio, intercettare una tastiera, e altro", ha detto uno degli esperti della Kaspersky, Alexander Gostev.
Il virus ha finora colpita circa 600 obiettivi, fra privati cittadini, aziende, istituzioni accademiche e governi. Secondo i tecnici, ci vorranno almeno due anni per analizzare il suo codice che pesa circa 20 MB. A causa di questo, è un pezzo di malware estremamente difficile da esaminare. Il motivo per cui Flame è così grande è perché include molte librerie diverse, ad esempio per la compressione (zlib, libbz2, PPMD) e la manipolazione di database (sqlite3), insieme con una macchina virtuale LUA.
LUA è un linguaggio scripting di programmazione, che può facilmente essere esteso e interfacciato con il codice C. Molte parti di Flame hanno alto ordine logico scritto in LUA - con subroutine d'attacco efficace e librerie compilate da C ++. La parte efficace del codice LUA è piuttosto piccola rispetto al codice generale. La stima degli esperti sul "costo" di sviluppo in LUA è di oltre 3000 righe di codice, che per uno sviluppatore medio dovrebbe prendere circa un mese per creare ed eseguire il debug.
La registrazione dei dati audio dal microfono interno è anche piuttosto nuova. Naturalmente, esistono altri tipi di malware in grado di registrare audio, ma fondamentale è la completezza di Flame - la capacità di rubare i dati in così tanti modi diversi. Un'altra caratteristica curiosa di Flame è infatti l'uso di dispositivi Bluetooth. Quando il Bluetooth è disponibile e l'opzione corrispondente è attivata nel blocco di configurazione, vengono raccolte le informazioni sui dispositivi individuabili nei pressi della macchina infetta.
Flame sembra essere un progetto che corre in parallelo con Stuxnet / Duqu, non utilizzando però la piattaforma Tilded (chiamata così perché i suoi autori tendono a utilizzare nomi di file che iniziano con il simbolo tilde seguito da una lettera d (d ~)). Ci sono tuttavia alcuni link che potrebbero indicare che i creatori di Flame hanno avuto accesso alla tecnologia utilizzata nel progetto Stuxnet - come l'uso del metodo di infezione "autorun.inf", insieme con lo sfruttamento della stessa vulnerabilità utilizzata da Stuxnet.
Nessun commento:
Posta un commento