3 jul 2012

"#Flame es de lamer... pero no fue detectado durante 3 años"

Este post lo publicó Mikko Hypponen de F-Secure y es una traducción libre.

Cuando se encontró Flame, se lo caracterizó de "muy avanzado", de "supermalware" y de ser "el malware más grande de la historia". Estos comentarios se reunieron con los de otros expertos que se apresuraron a señalar que "no había nada particularmente nuevo o interesante en la Flame, era de lamer".

De hecho, lo único llamativo parecía ser su gran tamaño. Ni siquiera eso fue muy emocionante ya que los analistas fuimos buscando ejemplares de malware aún más grande y de hecho los encontramos (algunos tratan de parecerse a archivos de vídeo).

Las sugerencias de que Flame fue creado por un gobierno y, al igual que Stuxnet y Duqu, sería el producto de una nación/estado se sumó al ridículo.

Pero, echemos un vistazo a lo que se aprendido acerca de Flame es este tiempo:

1. Flame tiene un keylogger y un screengrabber

Los detractores no se dejan impresionar: "hemos visto esto antes. Flame es poco convincente" (lame).

2. Flame se construyó en base a librerías SSH, SSL y LUA

"Grande y lento. Sigue siendo lame" .

3. Flame busca documentos de Office, archivos PDF, archivos de Autodesk y archivos de texto en las unidades locales y en las unidades de red. Como eso sería demasiada información para robar, utiliza IFilters para extraer fragmentos de texto de los documentos. Éstos se almacenan en una base de datos SqlLite local y se envian a los operadores de malware. De esta manera se puede guiar al software malicioso para afinar en el material realmente interesante.

"Flame es lame"

4. Flame puede activar el micrófono de la computadora infectada para grabar conversaciones que se hablen cerca de la máquina. Estas conversaciones se guardan como archivos de audio y enviados de vuelta a los operadores de malware.

Lame

5. Flame busca en el sistema infectado y la red, archivos de imágenes tomadas con cámaras digitales. Extrae la ubicación GPS de estas imágenes y las envía de nuevo a los operadores de malware.

"Sin embargo, eso es lame"

6. Fame comprueba si hay teléfonos móviles emparejados con Bluetooth a la computadora infectada. Si es así, se conecta al teléfono (iPhone, Android, Nokia, etc), recoge la libreta de direcciones desde el teléfono y lo envía a los operadores de malware.

"Aún es bastante lame"

7. Al infectar memorias USB que se utilizan en la máquina infectada, se copia información en una base de datos SqlLite cifrada, y se la envía cuando se utiliza el USB fuera del ambiente cerrado. De esta manera los datos pueden ser exfiltrados incluso desde un entorno de alta seguridad sin conectividad de red.

"Otro malware ya hizo esto 2008. Flame es lame"

8. Cuando Flame fue finalmente hallado, los atacantes han estado ocupados destruyendo toda la evidencia de las infecciones en los sistemas afectados.

"Nada nuevo. Lame".

9. Las últimas investigaciones demuestran que Flame está vinculado a Stuxnet. Y justo una semana después de que Flame haya sido descubierto, el Gobierno de EE.UU. admitió que habían desarrollado Stuxnet junto a las Fuerzas Armadas israelíes.

"Están tratando de hacer autobombo. Aún es lame"

10. Flame crea un proxy local que se utiliza para interceptar el tráfico a Microsoft Update. Esto se utiliza para propagar Flame a otras máquinas en una red de área local.

"Lame. Incluso si los demás equipos recibirían una actualización falsa, no la aceptarían, ya que no estaría firmado por Microsoft."

11. La actualización falsa fue firmada con un certificado raíz de Microsoft, ya que los atacantes encontraron una forma de reutilizar los certificados de licencia de Microsoft Terminal Server. Esto no fue suficiente para suplantar las versiones más recientes de Windows, por lo que se hizo una investigación criptográfica de vanguardia y se creo una forma completamente nueva para crear colisiones de hash MD5, lo que les permite falsificar el certificado.

"Sin embargo, necesitan un superordenador".

Y, han estado haciendo esto en silencio desde 2010.

"..."

Y de repente, al igual que la discusión sobre si Flame es lame o no, la discusión desapareció.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. Me ha gustado mucho el post, todo resumido y bien ordenadito...

    la verdad qeu había cosas que no sabía!

    y si si...muy lamer lamer, pero lo que tu dices..tardaron 3 años en descubrirlo....

    Un saludo.

    ResponderBorrar
  2. Desconozco el fuente, y concuerdo contigo que las técnicas utilizadas con lamas... pero lo que más me asombra es saber que la gente que trabaja en seguridad no pudieron descubrir algo tan lamo... eso si es preocupante... estamos claros que al sacarlo a la luz pública causó gran revuelo mediático... y creo que fué el objetivo y se cumplió... todos estamos hablando de la flamita... o no ¿?

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!