Kaspersky Lab informuje o wykryciu miniFlame’a, małego i bardzo elastycznego szkodliwego programu, przeznaczonego do kradzieży danych i kontrolowania zainfekowanych systemów podczas ukierunkowanych kampanii cyberszpiegowskich.
miniFlame, znany również jako „SPE”, został wykryty przez ekspertów z Kaspersky Lab w lipcu 2012 r. i pierwotnie sklasyfikowano go jako jeden z modułów cyberbroni Flame. Jednak, we wrześniu 2012 r. zespół badawczy złożony ze specjalistów z Kaspersky Lab przeprowadził dogłębną analizę serwerów centrum kontroli Flame’a, której wynikiem było odkrycie, że moduł miniFlame był współpracującym narzędziem, które można wykorzystać jako niezależny szkodliwy program, a także jako wtyczkę Flame’a lub Gaussa.
Analiza miniFlame’a wykazała istnienie kilku wersji szkodnika, utworzonych pomiędzy rokiem 2010 i 2011, z kilkoma wariantami istniejącymi nadal na wolności. Badanie ujawniło także nowe dowody ścisłej współpracy pomiędzy twórcami Flame’a i Gaussa, ponieważ oba te szkodniki podczas wykonywania swoich cyberprzestępczych działań używały miniFlame’a jako własnej „wtyczki”.
Główne ustalenia:
Wykrycie
Wykrycie miniFlame’a zbiegło się w czasie ze szczegółową analizą Flame’a i Gaussa. W lipcu 2012 r. eksperci z Kaspersky Lab zidentyfikowali nowy moduł Gaussa o nazwie kodowej „John” i znaleźli odwołania do tego samego modułu w plikach konfiguracyjnych Flame’a. Kolejna analiza serwerów centrum kontroli Flame'a, przeprowadzona we wrześniu 2012 r, pomogła ujawnić fakt, że odkryty moduł jest w istocie osobnym szkodliwym programem, jednak może zostać wykorzystany przez Gaussa i Flame’a jako „wtyczka”. W kodzie oryginalnych serwerów centrum kontroli Flame’a, miniFlame posiadał nazwę kodową „SPE”.
Eksperci z Kaspersky Lab wykryli sześć różnych wariantów szkodnika miniFlame – wszystkie datowane na okres 2010/2011 r. Jednocześnie analiza miniFlame’a wskazuje na jeszcze wcześniejszy termin zapoczątkowania rozwoju tego szkodliwego oprogramowania – nie później niż w roku 2007. Możliwość użycia miniFlame’a jako wtyczki Flame’a lub Gaussa wyraźnie wskazuje na współpracę pomiędzy grupami opracowującymi i rozwijającymi projekty Gauss oraz Flame. Ponieważ związek pomiędzy Flamem i Stuxnetem / Duqu został już ujawniony, można stwierdzić, że wszystkie te zaawansowane zagrożenia pochodzą z tej samej „cybernetycznej zbrojowni”.
Funkcjonalność
Oryginalny wektor infekcji miniFlame’a nie jest jeszcze określony. Zakładając potwierdzony związek pomiędzy miniFlamem, Flamem i Gaussem, miniFlame mógł być instalowany na komputerach zainfekowanych przez Flame’a lub Gaussa. Po zainstalowaniu miniFlame funkcjonuje jako backdoor i umożliwia napastnikom wyciągnięcie z zainfekowanej maszyny dowolnych plików. Dodatkowe funkcje kradzieży danych zawierają możliwość wykonywania zrzutów ekranu zainfekowanej maszyny podczas pracy z określonymi programami lub aplikacjami, takimi jak: przeglądarki internetowe, aplikacje pakietu Microsoft Office, Adobe Reader, usługa komunikatora internetowego lub klienta FTP. miniFlame przesyła skradzione dane łącząc się ze swoim serwerem kontroli (który może być niezależny lub „współdzielony” z Flamem). Na osobne żądanie operatora do zainfekowanego systemu może zostać dosłany dodatkowy moduł wyspecjalizowany w kradzieży danych, infekujący napędy USB i wykorzystujący je do przechowywania danych, które są pobierane z zainfekowanych komputerów niedysponujących połączeniem internetowym.
Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab, całą sprawę skomentował następująco: „miniFlame to wysoce precyzyjne narzędzie ataku. Najprawdopodobniej jest to ukierunkowana cyberbroń, wykorzystywana w tym, co możemy określać mianem drugiej fali cyberataku. Najpierw Flame lub Gauss stosowane są do zakażenia tak wielu ofiar, jak to możliwe w celu gromadzenia dużych ilości informacji. Po zebraniu i przejrzeniu danych określana i identyfikowana jest potencjalnie interesująca ofiara, a miniFlame jest instalowany na jej komputerze w celu przeprowadzenia bardziej szczegółowego rekonesansu i cyberszpiegostwa. Wykrycie miniFlame’a dodatkowo utwierdza nas w przekonaniu o kooperacji, jaka istniała (i prawdopodobnie nadal istnieje) pomiędzy twórcami najbardziej znanych szkodliwych programów, wykorzystywanych do cybernetycznych operacji bojowych: Stuxneta, Duqu, Flame’a i Gaussa”.
Firma Kaspersky Lab dziękuje grupie CERT-Bund/BSI za nieocenioną pomoc udzieloną podczas prowadzenia tego dochodzenia.
Dodatkowe informacje na temat szkodnika miniFlame można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab Polska: http://www.viruslist.pl/weblog.html?weblogid=833.
Źródło: Kaspersky Lab