miniFlame - nowy wirus zaprojektowany do operacji cyberszpiegowskich

Analiza miniFlame'a wykazała istnienie kilku wersji szkodnika, utworzonych pomiędzy rokiem 2010 i 2011, z kilkoma wariantami istniejącymi nadal na wolności. Badanie ujawniło także nowe dowody ścisłej współpracy pomiędzy twórcami Flame'a i Gaussa, ponieważ oba te szkodniki podczas wykonywania swoich cyberprzestępczych działań używały miniFlame'a jako własnej "wtyczki".

Główne ustalenia:

- miniFlame, znany również jako SPE, oparty jest na tej samej platformie co Flame. Może funkcjonować jako niezależne narzędzie cyberszpiegowskie lub jako komponent zaszyty wewnątrz Flame'a i Gaussa.

- Narzędzie cyberszpiegowskie miniFlame działa jako backdoor przeznaczony do kradzieży danych i pozyskiwania bezpośredniego dostępu do zainfekowanych systemów.

- Prace nad miniFlamem prawdopodobnie rozpoczęły się już w roku 2007 i trwały do końca 2011 r. Uważa się, że zostało stworzonych wiele wariantów szkodnika. Na chwilę obecną eksperci z Kaspersky Lab zidentyfikowali sześć odmian miniFlame'a, obejmujących dwie główne generacje: 4.x oraz 5.x.

- W odróżnieniu od Flame'a i Gaussa, w przypadku których liczba infekcji była bardzo duża, ilość infekcji spowodowanych przez miniFlame'a jest stosunkowo niewielka. Zgodnie z danymi Kaspersky Lab, liczba infekcji najnowszym wariantem szkodnika waha się pomiędzy 10 a 20 maszyn. Całkowita liczba infekcji na świecie szacowana jest na 50 - 60 komputerów.

- Liczba infekcji, w połączeniu z funkcjami kradzieży informacji i elastycznością, jaką dysponuje miniFlame, wskazuje na fakt, że narzędzie było używane do ściśle ukierunkowanych operacji cyberszpiegowskich i stosowane najprawdopodobniej wewnątrz maszyn, które były już wcześniej zainfekowane przez Flame'a lub Gaussa.

Wykrycie

Wykrycie miniFlame'a zbiegło się w czasie ze szczegółową analizą Flame'a i Gaussa. W lipcu 2012 r. eksperci zidentyfikowali nowy moduł Gaussa o nazwie kodowej "John" i znaleźli odwołania do tego samego modułu w plikach konfiguracyjnych Flame'a. Kolejna analiza serwerów centrum kontroli Flame'a, przeprowadzona we wrześniu 2012 r, pomogła ujawnić fakt, że odkryty moduł jest w istocie osobnym szkodliwym programem, jednak może zostać wykorzystany przez Gaussa i Flame'a jako "wtyczka". W kodzie oryginalnych serwerów centrum kontroli Flame'a, miniFlame posiadał nazwę kodową "SPE".

Eksperci wykryli sześć różnych wariantów szkodnika miniFlame - wszystkie datowane na okres 2010/2011 r. Jednocześnie analiza miniFlame'a wskazuje na jeszcze wcześniejszy termin zapoczątkowania rozwoju tego szkodliwego oprogramowania - nie później niż w roku 2007. Możliwość użycia miniFlame'a jako wtyczki Flame'a lub Gaussa wyraźnie wskazuje na współpracę pomiędzy grupami opracowującymi i rozwijającymi projekty Gauss oraz Flame. Ponieważ związek pomiędzy Flamem i Stuxnetem / Duqu został już ujawniony, można stwierdzić, że wszystkie te zaawansowane zagrożenia pochodzą z tej samej "cybernetycznej zbrojowni".

Funkcjonalność

Oryginalny wektor infekcji miniFlame'a nie jest jeszcze określony. Zakładając potwierdzony związek pomiędzy miniFlamem, Flamem i Gaussem, miniFlame mógł być instalowany na komputerach zainfekowanych przez Flame'a lub Gaussa. Po zainstalowaniu miniFlame funkcjonuje jako backdoor i umożliwia napastnikom wyciągnięcie z zainfekowanej maszyny dowolnych plików. Dodatkowe funkcje kradzieży danych zawierają możliwość wykonywania zrzutów ekranu zainfekowanej maszyny podczas pracy z określonymi programami lub aplikacjami, takimi jak: przeglądarki internetowe, aplikacje pakietu Microsoft Office, Adobe Reader, usługa komunikatora internetowego lub klienta FTP.

miniFlame przesyła skradzione dane łącząc się ze swoim serwerem kontroli (który może być niezależny lub "współdzielony" z Flamem). Na osobne żądanie operatora do zainfekowanego systemu może zostać dosłany dodatkowy moduł wyspecjalizowany w kradzieży danych, infekujący napędy USB i wykorzystujący je do przechowywania danych, które są pobierane z zainfekowanych komputerów niedysponujących połączeniem internetowym.

Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab, całą sprawę skomentował następująco: "miniFlame to wysoce precyzyjne narzędzie ataku. Najprawdopodobniej jest to ukierunkowana cyberbroń, wykorzystywana w tym, co możemy określać mianem drugiej fali cyberataku. Najpierw Flame lub Gauss stosowane są do zakażenia tak wielu ofiar, jak to możliwe w celu gromadzenia dużych ilości informacji. Po zebraniu i przejrzeniu danych określana i identyfikowana jest potencjalnie interesująca ofiara, a miniFlame jest instalowany na jej komputerze w celu przeprowadzenia bardziej szczegółowego rekonesansu i cyberszpiegostwa. Wykrycie miniFlame'a dodatkowo utwierdza nas w przekonaniu o kooperacji, jaka istniała (i prawdopodobnie nadal istnieje) pomiędzy twórcami najbardziej znanych szkodliwych programów, wykorzystywanych do cybernetycznych operacji bojowych: Stuxneta, Duqu, Flame'a i Gaussa".