Kaspersky Lab descobre “miniFlame

escrito por João Fernandes a 15 Outubro 2012

 

A Kaspersky Lab anunciou a descoberta do miniFlame, um pequeno programa malicioso e altamente flexível concebido para roubar dados e controlar sistemas infetados durante operações de ciber espionagem dirigidas a alvos concretos.

O MiniFlame, também conhecido como SPE, foi descoberto pelos analistas da Kaspersky Lab em Julho de 2012, e foi originalmente identificado como um módulo do Flame. No entanto, em Setembro de 2012, os investigadores da Kaspersky Lab realizaram uma análise em profundidade aos servidores C&C do Flame e descobriram que o módulo miniFlame era realmente uma ferramenta interoperável que pode ser utilizada como um programa malicioso independente ou simultaneamente como um plug-in para os programas do malware Flame ou Gauss.

As análises ao miniFlame demonstraram que existem várias versões criadas entre 2010 e 2011, com algumas variantes ainda ativas. As análises também revelaram novas evidências da cooperação entre os criadores do Flame e do Gauss, já que ambos os programas maliciosos podem usar o miniFlame como “plug-in” para as suas operações.

Principais descobertas:
•    O miniFlame, também conhecido como SPE, baseia-se na mesma plataforma de arquitetura do Flame. Pode funcionar como um programa de ciber-espionagem independente ou como um componente do Flame e do Gauss.
•    A ferramenta de ciber-espionagem opera como um backdoor desenhado para o roubo de dados e acesso direto a sistemas infetados.
•    É possível que o desenvolvimento do miniFlame tenha tido início em 2007 e continuado até finais de 2011. Supõe-se que foram criadas muitas variações. À data de hoje, a Kaspersky Lab já detetou seis destas modificações, identificando duas gerações principais: 4.x e 5.x .
•    Ao contrário do Flame ou do Gauss, que têm um grande número de infeções, a quantidade de infeções do miniFlame é muito menor. De acordo com os dados da Kaspersky Lab, o número de máquinas infetadas é de 10 a 20. O número total de infeções no mundo é de 50-60.
•    O número de infeções combinado com as funcionalidades de roubo de dados do miniFlame e o seu design flexível indica que tem sido utilizado para operações de ciber-espionagem com alvos concretos, e foi desenvolvido principalmente para máquinas que já estão infetadas pelo Flame e pelo Gauss.

Descoberta

A descoberta do miniFlame aconteceu graças a uma análise em profundidade ao malware que compunha o Flame e o Gauss. Em Julho de 2012, os analistas da Kaspersky Lab identificaram um módulo adicional do Gauss, com o nome-chave “John” e encontraram referências do mesmo módulo nos arquivos de configuração do Flame. A análise aos servidores C&C do Flame de Setembro de 2012 ajudou a desvendar que o recém-descoberto módulo era, de facto, um programa malicioso separado, ainda que possa ser utilizado como “plug-in” para o Gauss e Flame. O miniFlame começou a utilizar o nome-chave de SPE, no código dos servidores C&C originais do Flame.

A Kaspersky Lab descobriu seis variações diferentes do miniFlame, todas datadas entre 2010 e 2011. Ao mesmo tempo, a análise ao miniFlame indicou que o desenvolvimento do malware começou ainda antes, muito provavelmente em 2007. A possibilidade de utilizar o miniFlame como um plug-in para o Flame ou Gauss liga os seus autores de uma maneira clara às equipas de desenvolvimento do Flame e Gauss. E uma vez que foi também descoberta uma ligação entre o Flame e o Stuxnet/Duqu, pode-se concluir que todas estas ameaças avançadas vêm da mesma “fábrica de ciber-guerra”.

Funcionalidade

O vetor da infeção original do miniFlame ainda está por determinar. Dada a relação confirmada entre o miniFlame, Flame, e Gauss, o miniFlame pode ser instalado nos equipamentos já infetados pelo Flame ou pelo Gauss. Uma vez instalado, o miniFlame opera como um backdoor e permite operações de malware para obter qualquer arquivo de um equipamento infetado.

As suas capacidades adicionais de roubo de dados incluem a possibilidade de fazer capturas de ecrã do computador infetado enquanto está a utilizar um programa ou uma aplicação, como um browser, um programa do Microsoft Office, Adobe Reader, serviços de mensagens instantâneas ou um cliente FTP. O miniFlame carrega todos os dados roubados ligando ao seu servidor C&C (que pode ser único ou “partilhado” com o do Flame). Além disso, o operador C&C do miniFlame pode fazer com que um módulo adicional de roubo de dados seja enviado para um sistema infetado, que infete discos USB e que os utilize para armazenar dados recolhidos de outros equipamentos, sem necessidade de que estes estejam sequer ligados à Internet.

Alexander Gostev, Analista Chefe de Segurança da Kaspersky Lab afirma: “O miniFlame é uma ferramenta de ataque de grande precisão. O mais provável é que seja uma ciber-arma dirigida ao que se poderia chamar uma onda secundária de ciber-ataques. O Flame ou Gauss são primeiramente utilizados para infetar o maior número possível de equipamentos e recolher a maior quantidade de informação possível. Após a recolha dos dados, é definido e identificado um alvo potencial de vítimas de interesse, e o miniFlame é instalado para uma investigação e ciber-espionagem mais profunda. A descoberta do miniFlame oferece-nos provas adicionais da cooperação existente entre os criadores dos maiores programas maliciosos utilizados para a ciberguerra: Stuxnet, Duqu, Flame e Gauss.”

http://wintech.com.pt/content/view/13091/1/#.UH1MX4Z7zbg