Il super virus Flame
Il super virus Flame, letteralmente Fiamma, conosciuto anche come Flamer (Lanciafiamme) o WkyWiper, è un malware identificato per la prima volta nel maggio 2012 che attacca i computer con sistema operativo Windows. Sembra sia utilizzato per lo spionaggio industriale verso i Paesi del Medio Oriente.
Si tratta probabilmente del malware più sofisticato che sia mai stato identificato: la sua scoperta è stata annunciata dal Kaspersky Lab, congiuntamente a laboratori iraniani e ungheresi, il 28 maggio 2012.
Flame è composto da una sofisticata raccolta di strumenti di hackeraggio: è una backdoor, un Trojan, e ha caratteristiche del worm, che gli permettono di replicarsi tramite la rete locale o chiavette e hard disk USB.
Sembra si sia diffuso attraverso attacchi mirati a specifici obbiettivi, forse sfruttando una vulnerabilità dei sistemi Microsoft (MS10-033 che permetteva l'esecuzione di codice indesiderato durante la decompressione di flussi di dati compressi)
Una volta che un sistema è infetto, il super virus inizia ad effettuare una complessa serie di operazioni, che comprendono l'interettazione del traffico di rete (sniffing), la registrazione di conversazioni via Skype, la registrazione dell'attività della tastiera, screenshot dello schermo, cerca anche carpire informazioni dai dispositivi Bluetooth nel raggio d'azione del PC ospite.
Tutti questi dati vengono diventano disponibili per gli operatori del server remoto in contatto con Flame.
Le funzionalità di Flame possono ulteriormente essere espanse attraverso dei moduli aggiuntivi, il cui scopo è ancora oggetto di investigazione.
Flame è una vasta raccolta di moduli (fino a 20MB di dimensioni) che ne rendono molto difficile l'analisi per la grande quantità di codice che racchiude. Comprende molte differenti librerie che usano diversi tipi di compressione, e gestisce un database di tipo sqlite associato a una virtuale machine programmata in Lua
(un linguaggio di scripting)
Tutto questo lo rende un malware particolarmente insolito, sia per le sue dimensioni sia per il tipo di attività che svolge. La complessità del codice e lo scopo delle sue azioni fanno presumere che la sua creazione sia opera dei servizi segreti di una nazione.
I ricercatori del Kaspersky Lab non si sbilanciano nel fare nomi ma visto il target geografico, io ipotizzerei il coinvolgimento della CIA o del Mossad.
I servizi segreti israeliani sono già stati indicati come i programmatori del virus Stuxnet che avrebbe messo fuori uso diverse centrifughe nucleari israeliane. Collegato a Stuxnet è stato identificato un work, Doku, anch'esso modulare e destinato a raccogliere informazioni su sistemi industriali, ma meno sofisticato di Flame
[da pc-facile.com]
Fonti / Link:
http://en.wikipedia.org/wiki/Flame_(malware)#cite_note-Lee-4
http://www.kaspersky.com/about/news/virus/2012/new_investigation_points_to_three_new_flame_related_malicious_programs_at_least_one_still_in_the_wild
https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
http://technet.microsoft.com/en-us/security/bulletin/MS10-033
http://www.pc-facile.com/news/kaspersky_lab_trova_fratelli_di_flame/72233.htm
Si tratta probabilmente del malware più sofisticato che sia mai stato identificato: la sua scoperta è stata annunciata dal Kaspersky Lab, congiuntamente a laboratori iraniani e ungheresi, il 28 maggio 2012.
Flame è composto da una sofisticata raccolta di strumenti di hackeraggio: è una backdoor, un Trojan, e ha caratteristiche del worm, che gli permettono di replicarsi tramite la rete locale o chiavette e hard disk USB.
Sembra si sia diffuso attraverso attacchi mirati a specifici obbiettivi, forse sfruttando una vulnerabilità dei sistemi Microsoft (MS10-033 che permetteva l'esecuzione di codice indesiderato durante la decompressione di flussi di dati compressi)
Una volta che un sistema è infetto, il super virus inizia ad effettuare una complessa serie di operazioni, che comprendono l'interettazione del traffico di rete (sniffing), la registrazione di conversazioni via Skype, la registrazione dell'attività della tastiera, screenshot dello schermo, cerca anche carpire informazioni dai dispositivi Bluetooth nel raggio d'azione del PC ospite.
Tutti questi dati vengono diventano disponibili per gli operatori del server remoto in contatto con Flame.
Le funzionalità di Flame possono ulteriormente essere espanse attraverso dei moduli aggiuntivi, il cui scopo è ancora oggetto di investigazione.
Flame è una vasta raccolta di moduli (fino a 20MB di dimensioni) che ne rendono molto difficile l'analisi per la grande quantità di codice che racchiude. Comprende molte differenti librerie che usano diversi tipi di compressione, e gestisce un database di tipo sqlite associato a una virtuale machine programmata in Lua
(un linguaggio di scripting)
Tutto questo lo rende un malware particolarmente insolito, sia per le sue dimensioni sia per il tipo di attività che svolge. La complessità del codice e lo scopo delle sue azioni fanno presumere che la sua creazione sia opera dei servizi segreti di una nazione.
adv box
I ricercatori del Kaspersky Lab non si sbilanciano nel fare nomi ma visto il target geografico, io ipotizzerei il coinvolgimento della CIA o del Mossad.
I servizi segreti israeliani sono già stati indicati come i programmatori del virus Stuxnet che avrebbe messo fuori uso diverse centrifughe nucleari israeliane. Collegato a Stuxnet è stato identificato un work, Doku, anch'esso modulare e destinato a raccogliere informazioni su sistemi industriali, ma meno sofisticato di Flame
[da pc-facile.com]
Pochi giorni fa (17/09), Kaspersky Lab ha dichiarato di aver scoperto 3 nuovi fratelli di Flame mentre stava analizzando un numero di server Command and Control (C&C), ovvero i server di controllo che impartiscono le istruzioni a Flame.
"Sono stati utilizzati sofisticati sistemi di crittografia in modo che nessuno, se non le menti dietro i virus, possa leggere i dati caricati sui server," ha dichiarato Kaspersky.
"L'analisi degli script usati per la trasmissione dei dati ha rivelato quattro protocolli, di cui uno solo è compatibile con Flame. Questo vuol dire che ci sono almeno altri tre tipi di malware che usano questi server C&C. Ci sono sufficienti prove che almeno un fratello di Flame sia attivo in questo momento."
Dettagli dalla scoperta degli altri tre fratelli indicano che la piattaforma che gestisce Flame sia attiva dal 2006, ovvero che è stata sviluppata almeno quattro anni prima che del previsto.
"Sono stati utilizzati sofisticati sistemi di crittografia in modo che nessuno, se non le menti dietro i virus, possa leggere i dati caricati sui server," ha dichiarato Kaspersky.
"L'analisi degli script usati per la trasmissione dei dati ha rivelato quattro protocolli, di cui uno solo è compatibile con Flame. Questo vuol dire che ci sono almeno altri tre tipi di malware che usano questi server C&C. Ci sono sufficienti prove che almeno un fratello di Flame sia attivo in questo momento."
Dettagli dalla scoperta degli altri tre fratelli indicano che la piattaforma che gestisce Flame sia attiva dal 2006, ovvero che è stata sviluppata almeno quattro anni prima che del previsto.
Fonti / Link:
http://en.wikipedia.org/wiki/Flame_(malware)#cite_note-Lee-4
http://www.kaspersky.com/about/news/virus/2012/new_investigation_points_to_three_new_flame_related_malicious_programs_at_least_one_still_in_the_wild
https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
http://technet.microsoft.com/en-us/security/bulletin/MS10-033
http://www.pc-facile.com/news/kaspersky_lab_trova_fratelli_di_flame/72233.htm
Commenti
Posta un commento
Ringrazio tutti quelli che vorranno lasciare un commento o che seguiranno o sottoscriveranno il mio blog. Il linea di massima cercherò sempre di rispondere.
Nel caso vogliate fare delle richieste o dei commenti off-topic ossia non collegati all'argomento dell'articolo, vi sarei grato se li postaste sulla pagina Facebook del blog. Grazie!