Flame[r]

Il MAHER ha annunciato di aver scoperto un nuovo tipo di malware che avrebbe preso di mira alcuni Paesi dell Medio Oriente.

La scoperta è supportata dalla notizia che i laboratori di Kaspersky sono stati contattati dall’ITU per identificare un malware fino ad allora sconosciuto.

L’analisi del malware è appena all’inizio e richiederà molto tempo dal momento che quando è completamente installato raggiunge la dimensione di 20 Mb. Queste sono le caratteristiche note fin’ora:

• si propaga attraverso supporti rimovibili (chiavette) oppure via rete sui computer in LAN;
• eseguire analisi di rete quali sniffing, enumerazione delle risorse e raccolta di password vulnerabili;
• analisi del disco rigido del computer infatto per cercare file con determinate estensioni o contenuti;
• analisi dei dispositivi raggiungibili via bluetooth;
• possibilità di catturare il contenuto dello schermo se sono attivi determinati processi;
• registrazione dell’audio ambientale tramite il microfono del PC;
• comunicare via https o ssh i dati raccolti ai C&C localizzati su oltre dieci nomi a dominio diversi;
• possibilità di scaricare ulteriori moduli dal C&C;
• capacità di identificare e bypassare moltissimi sistemi antivirus, antispyware o antimalware;
• capacità di infettare XP, Vista e 7;
• utilizzo di file ~xxxxxxx.TMP per nascondersi (esattamente come Stuxnet e Duqu).

Uno degli indicatori della sua esistenza scoperto dal MAHER è la presenza di mssecmgr.ocx nella chiave HKLM\CurrentControlSet\Control\Lsa\Authentication Packages.

La versione nota copia in %SystemRoot% i file mssecmgr.ocx, ccalc32.sys, msglu32.ocx, boot32drv.sys, nteps32.ocx, advnetcfg.ocx e soapr32.ocx. Benché le informazioni dichiarate dai programmi dicano che si tratta di componenti di Windows creati da Microsoft, nessun file è firmato con una chiave di Microsoft.

Nei venti mega si trovano molti componenti, tra i quali librerie per la compressione dati (zlib, libbz2 e ppmd), per la gestione dei dati (sqlite3 e un sistema proprietario) e una virtual machine LUA.

È evidente che la realizzazione di un programma del genere non è da tutti, specialmente per il genere di obbiettivi e per il tipo di propagazione (chiavette e LAN piuttosto che Internet). Come Mikko Hypponen rileva, il fatto che Flamer sia riuscito ad evitare l’identificazione da parte dei sistemi antivirus è un duro colpo per tutti i produttori di questo tipo di software.

Alcune risorse online per approfondire il tema:

• Articolo sul sito del MAHER
• The Flame: Questions and Answers (Kaspersky Lab)
• Case Flame (F-Secure)
• Skywiper – Fanning the “flames” of cyber warfare (McAfee)
• sKyWIper: A complex malware for targeted attacks (CrySyS Lab)

Aggiornamento del 8/6/2012 – Sembra che le persone che controllano i C&C di Flame[r] abbiano inviato un aggiornamento al malware che ne provoca l’autorimozione e forza la sovrascrittura dei file del malware prima della loro cancellazione, per evitare che altri entrino in possesso delle copie del software.

Aggiornamento del 11/6/2012 – Secondo i laboratori Kaspersky, Flame e Stuxnet sono due progetti correlati.