¿Qué se sabe sobre #Flame?
Hace unos días Kaspersky Lab anunciaba el descubrimiento de una nueva fuente de Malware, considerada como "ciberarma" llamada Flame (Flamer/TheFlame), similar en funcionamiento y complejidad a Stuxnet y DuQu.
Esta noticia se esta haciendo eco en Internet de forma muy alarmante, sin embargo Flame no es nuevo, de acuerdo a Kaspersky tiene varios años infectando equipos. El Equipo de Respuesta de Emergencias Computacionales de Irán (CERT) ya había detectado este malware en mayo, sin embargo otras empresas aseguran que está en la red desde marzo de 2010, ya que han conseguido muestras del mencionado “bicho”. El Laboratorio de Criptografía y Seguridad en Sistemas de Budapest (CrySyS) lo ha identificado como sKyWIper, y se piensa que ha estado en funcionamiento desde hace 5 años. También han liberado un análisis referente a Flame. En AlientVault también nos ofrecen un análisis de Flame y de su posible fecha de creación.
Pues bien, hay polémica (incluso política) y confusión con respecto a Flame, su origen y su propósito específico. Ya mencionaba que tiene características similares otros bichos como Stuxnet y DuQu, pero también posee características propias que lo hacen mortífero.
Hasta ahora, se piensa que nació y se ha distribuido en el medio oriente y Asia central, y su objetivo principal es corporativo/empresarial. En relación al motivo de su desarrollo, hasta ahora se piensa que es para el espionaje y sabotaje.
Así que tenemos a este troyano/gusano (al parecer no está claro) que es capaz de ser dirigido y controlado por su (s) creador (es) hacia objetivos específicos en el Medio Oriente con el propósito de hacer trabajos de inteligencia.
Este bicho es capaz de hacer capturas de pantalla bien sea video o fotos, obtener información del sistema infectado, pulsación de teclas, establecer comunicación a través de bluetooth, grabar conversaciones usando el micrófono del equipo y demás etc.
A simple vista parecer ser extremadamente similar a otras variantes de Malware, sin embargo Flame usa sistemas de cifrado y ofuscación de código a gran escala, además de estar escrito en C y LUA (lenguaje de programación imperativo, estructurado y ligero, utilizado también para video juegos), lo que hace que su análisis por parte de las casas antivirus sea difícil y lleve mucho tiempo.
Recientemente se obtuvo información de un componente interno utilizado por Flame llamado NetworkTypeIdentifier, este hace referencia una lista de sitios Web como *.overture.*, *.gmail.*, *.hotmail.*, *.bbc.co.* y a 3 sitios Iraníes *.baztab.*, *.maktoob.*, *.gawab.*
Hasta ahora tenemos 3 bichos de alto calibre (quizás relacionados entre sí), Stuxnet, DuQu y Flame; considerados como ciberarmas para el espionaje y el sabotaje corporativo. Recordemos que Stuxnet fue utilizado específicamente para atacar instalaciones nucleares iraníes, donde realizó una acción de sabotaje no detectado contra las centrífugas de enriquecimiento de uranio, interrumpiendo su funcionamiento, y de acuerdo a Richard Clarke, éste fue desarrollado por los EEUU.
Se piensa que Flame tiene el mismo propósito, y ha sido desarrollado no por una persona sino por un grupo de personas que además de tener un objetivo específico, están muy bien organizados y cuentan con recursos.
Por otro lado, Flame utiliza vulnerabilidades de los sistemas que muy probablemente no sean públicas, esto lo hace capaz de infectar sistemas operativos aunque estén parcheados y debidamente “protegidos”. Y no hay que olvidar que todavía no se sabe desde cuando está operativo, esto nos dice claramente que los motores antivirus y demás técnicas para asegurar la información han sido poco fiables ante las técnicas usadas por Flame; esto lo hace muy potente ya que es capaz de pasar desapercibido.
Este troyano tiene varios puntos que llaman bastante la atención:
Así que podemos resumir que Flame no es solo una herramienta para el espionaje/sabotaje sino un kit muy completo y complejo de herramientas para ingresar a cualquier sistema.
"Flamer es la más terrorífica herramienta de espionaje cibernético que hemos visto hasta ahora. Llega a lugares donde otros programas espía no llegan, roba información que otros no pueden, y pasa casi desapercibidad" Catalin Cosoi, Chief Security Researcher de Bitdefender.
Ademas tenemos el post que publicó Mikko de F-Secure. Kaspersky, por su parte, sigue deleitándonos con muy buenos artículos centrados en sus investigaciones sobre la supuesta amenaza. Bit9, han decidido realizar un Webcast (Ya terminado), en el que hacen conciencia sobre lo vulnerables que podemos ser ante este tipo de amenazas. Son ellos también, los que han realizado un reporte “light” sobre FLAME, explicando en líneas generales (y comerciales) en qué consiste esta amenaza de tipo APT.
En base a toda la información que ha sido publicada hasta el momento, Luis Delgado realizado un pequeño script que comprueba si tu sistema está o no infectado con Flame.
La aplicación comprueba concretamente la existencia de una serie de ficheros tanto en el directorio windows/system32 como en el windows/temp, la existencia de unas carpetas específicas en "Common Files\Microsoft Shared" y si ha modificado entradas en el registro (concretamente la clave Authentication Packages en "SYSTEM\CurrentControlSet\Control\Lsa\"
Fuente: Expresion Binaria y Security by Default
Esta noticia se esta haciendo eco en Internet de forma muy alarmante, sin embargo Flame no es nuevo, de acuerdo a Kaspersky tiene varios años infectando equipos. El Equipo de Respuesta de Emergencias Computacionales de Irán (CERT) ya había detectado este malware en mayo, sin embargo otras empresas aseguran que está en la red desde marzo de 2010, ya que han conseguido muestras del mencionado “bicho”. El Laboratorio de Criptografía y Seguridad en Sistemas de Budapest (CrySyS) lo ha identificado como sKyWIper, y se piensa que ha estado en funcionamiento desde hace 5 años. También han liberado un análisis referente a Flame. En AlientVault también nos ofrecen un análisis de Flame y de su posible fecha de creación.Pues bien, hay polémica (incluso política) y confusión con respecto a Flame, su origen y su propósito específico. Ya mencionaba que tiene características similares otros bichos como Stuxnet y DuQu, pero también posee características propias que lo hacen mortífero.
Hasta ahora, se piensa que nació y se ha distribuido en el medio oriente y Asia central, y su objetivo principal es corporativo/empresarial. En relación al motivo de su desarrollo, hasta ahora se piensa que es para el espionaje y sabotaje.
Así que tenemos a este troyano/gusano (al parecer no está claro) que es capaz de ser dirigido y controlado por su (s) creador (es) hacia objetivos específicos en el Medio Oriente con el propósito de hacer trabajos de inteligencia.
Este bicho es capaz de hacer capturas de pantalla bien sea video o fotos, obtener información del sistema infectado, pulsación de teclas, establecer comunicación a través de bluetooth, grabar conversaciones usando el micrófono del equipo y demás etc.
A simple vista parecer ser extremadamente similar a otras variantes de Malware, sin embargo Flame usa sistemas de cifrado y ofuscación de código a gran escala, además de estar escrito en C y LUA (lenguaje de programación imperativo, estructurado y ligero, utilizado también para video juegos), lo que hace que su análisis por parte de las casas antivirus sea difícil y lleve mucho tiempo.
Recientemente se obtuvo información de un componente interno utilizado por Flame llamado NetworkTypeIdentifier, este hace referencia una lista de sitios Web como *.overture.*, *.gmail.*, *.hotmail.*, *.bbc.co.* y a 3 sitios Iraníes *.baztab.*, *.maktoob.*, *.gawab.*
Hasta ahora tenemos 3 bichos de alto calibre (quizás relacionados entre sí), Stuxnet, DuQu y Flame; considerados como ciberarmas para el espionaje y el sabotaje corporativo. Recordemos que Stuxnet fue utilizado específicamente para atacar instalaciones nucleares iraníes, donde realizó una acción de sabotaje no detectado contra las centrífugas de enriquecimiento de uranio, interrumpiendo su funcionamiento, y de acuerdo a Richard Clarke, éste fue desarrollado por los EEUU.
Se piensa que Flame tiene el mismo propósito, y ha sido desarrollado no por una persona sino por un grupo de personas que además de tener un objetivo específico, están muy bien organizados y cuentan con recursos.
Por otro lado, Flame utiliza vulnerabilidades de los sistemas que muy probablemente no sean públicas, esto lo hace capaz de infectar sistemas operativos aunque estén parcheados y debidamente “protegidos”. Y no hay que olvidar que todavía no se sabe desde cuando está operativo, esto nos dice claramente que los motores antivirus y demás técnicas para asegurar la información han sido poco fiables ante las técnicas usadas por Flame; esto lo hace muy potente ya que es capaz de pasar desapercibido.
Este troyano tiene varios puntos que llaman bastante la atención:
- Hay muchas partes escritas en LUA (exótico lenguaje de programación)
- Emplea el bluetooth del sistema para identificar otros dispositivos
- Tiene capacidad para grabar conversaciones empleando el micrófono del sistema
- Permite tomar capturas de pantalla en función de que aplicaciones estén en uso (entre ellas, aplicaciones de mensajería instantánea)
Así que podemos resumir que Flame no es solo una herramienta para el espionaje/sabotaje sino un kit muy completo y complejo de herramientas para ingresar a cualquier sistema.
"Flamer es la más terrorífica herramienta de espionaje cibernético que hemos visto hasta ahora. Llega a lugares donde otros programas espía no llegan, roba información que otros no pueden, y pasa casi desapercibidad" Catalin Cosoi, Chief Security Researcher de Bitdefender.
Ademas tenemos el post que publicó Mikko de F-Secure. Kaspersky, por su parte, sigue deleitándonos con muy buenos artículos centrados en sus investigaciones sobre la supuesta amenaza. Bit9, han decidido realizar un Webcast (Ya terminado), en el que hacen conciencia sobre lo vulnerables que podemos ser ante este tipo de amenazas. Son ellos también, los que han realizado un reporte “light” sobre FLAME, explicando en líneas generales (y comerciales) en qué consiste esta amenaza de tipo APT.
En base a toda la información que ha sido publicada hasta el momento, Luis Delgado realizado un pequeño script que comprueba si tu sistema está o no infectado con Flame.
La aplicación comprueba concretamente la existencia de una serie de ficheros tanto en el directorio windows/system32 como en el windows/temp, la existencia de unas carpetas específicas en "Common Files\Microsoft Shared" y si ha modificado entradas en el registro (concretamente la clave Authentication Packages en "SYSTEM\CurrentControlSet\Control\Lsa\"
Fuente: Expresion Binaria y Security by Default
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!