Flame, l'arma nuova dello spionaggio informatico

I Kaspersky Lab hanno annunciato la scoperta di un nuovo e sofisticato malware utilizzato per compiere attacchi in diversi paesi. Il suo nome completo è Worm.Win32.Flame e può essere senza dubbio definita come la più pericolosa arma per lo spionaggio informatico mai creata, più potente di Duqu e Stuxnet, con i quali condivide molte caratteristiche, come l’area geografica e gli obiettivi.

La scoperta di Flame è avvenuta per caso. I Kaspersky Lab erano stati contattati dalla ITU (International Telecommunication Union) per indagare su un malware che stava cancellando informazioni sensibili sui computer in Medio Oriente. Durante la ricerca di quel programma nocivo, soprannominato Wiper, è stato individuato un nuovo tipo di minaccia finora sconosciuta. Flame, infatti, esiste da almeno due anni, ma grazie alla sua estrema complessità e per la natura degli attacchi mirati, nessun software di sicurezza è stato in grado di rilevarlo.

Uno dei mezzi utilizzati per infettare il PC è tramite pen drive USB, come accaduto per Stuxnet. Inoltre, il malware può diffondersi nella rete locale, sfruttando una vulnerabilità di Windows nei sistemi con stampante condivisa, o quando eseguito da un utente che possiede i diritti di amministratore per un controller di dominio. Una volta installato sulla macchina target, Flame colleziona tutte le informazioni sensibili utilizzando differenti metodi: sniffing del traffico di rete, registrazione delle conversazioni audio mediante il microfono del PC, screenshot di alcune applicazioni ritenute interessanti, tra cui i software di instant messaging, e intercettazione della tastiera. Il malware è in grado anche di “ascoltare” a distanza i dispositivi connessi al sistema infetto tramite Bluetooth. I dati raccolti vengono poi inviati a diversi server di comando e controllo dislocati in varie parti del mondo.

La complessità di Flame, che in un certo senso lo rende unico, è dimostrato dalla sua dimensione di oltre 20 MB. Ciò rende più difficile analizzare ogni riga di codice per scoprire con esattezza il suo funzionamento. Si tratta di una vera e propria applicazione costituita da numerosi moduli che continuano ad essere aggiornati. Secondo Kaspersky, teoricamente gli autori del malware potrebbero essere tre: hacktivisti, cybercriminali e stati. Dato che non è stato creato per rubare denaro dai conti bancari ed essendo molto diverso dai semplici tool usati dagli hacktivisti, Flame è stato certamente sponsorizzato da qualche nazione, come si evince anche dalla posizione geografica dei target (Iran, Israele/Palestina, Sudan, Siria, Libano, Arabia Saudita e Egitto).

ITU utilizzerà la rete ITU-IMPACT, composta da 142 paesi e importanti operatori del settore (inclusi i Kaspersky Lab), per avvisare i governi e la comunità tecnologica relativamente a questa minaccia informatica.