Wykryto „miniFlame” – nowy szkodliwy program

Kaspersky Lab informuje o wykryciu miniFlame’a, małego i bardzo elastycznego szkodliwego programu, przeznaczonego do kradzieży danych i kontrolowania zainfekowanych systemów podczas ukierunkowanych kampanii cyberszpiegowskich.

miniFlame, znany również jako „SPE”, został wykryty przez ekspertów z Kaspersky Lab w lipcu 2012 r. i pierwotnie sklasyfikowano go jako jeden z modułów cyberbroni Flame. Jednak, we wrześniu 2012 r. zespół badawczy złożony ze specjalistów z Kaspersky Lab przeprowadził dogłębną analizę serwerów centrum kontroli Flame’a, której wynikiem było odkrycie, że moduł miniFlame był współpracującym narzędziem, które można wykorzystać jako niezależny szkodliwy program, a także jako wtyczkę Flame’a lub Gaussa. 

Analiza miniFlame’a wykazała istnienie kilku wersji szkodnika, utworzonych pomiędzy rokiem 2010 i 2011, z kilkoma wariantami istniejącymi nadal na wolności. Badanie ujawniło także nowe dowody ścisłej współpracy pomiędzy twórcami Flame’a i Gaussa, ponieważ oba te szkodniki podczas wykonywania swoich cyberprzestępczych działań używały miniFlame’a jako własnej „wtyczki”.

Główne ustalenia:

  • miniFlame, znany również jako SPE, oparty jest na tej samej platformie co Flame. Może funkcjonować jako niezależne narzędzie cyberszpiegowskie lub jako komponent zaszyty wewnątrz Flame’a i Gaussa.
  • Narzędzie cyberszpiegowskie miniFlame działa jako backdoor przeznaczony do kradzieży danych i pozyskiwania bezpośredniego dostępu do zainfekowanych systemów.
  • Prace nad miniFlamem prawdopodobnie rozpoczęły się już w roku 2007 i trwały do końca 2011 r. Uważa się, że zostało stworzonych wiele wariantów szkodnika. Na chwilę obecną eksperci z Kaspersky Lab zidentyfikowali sześć odmian miniFlame’a, obejmujących dwie główne generacje: 4.x oraz 5.x.
  • W odróżnieniu od Flame’a i Gaussa, w przypadku których liczba infekcji była bardzo duża, ilość infekcji spowodowanych przez miniFlame’a jest stosunkowo niewielka. Zgodnie z danymi Kaspersky Lab, liczba infekcji najnowszym wariantem szkodnika waha się pomiędzy 10 a 20 maszyn. Całkowita liczba infekcji na świecie szacowana jest na 50 – 60 komputerów.
  • Liczba infekcji, w połączeniu z funkcjami kradzieży informacji i elastycznością, jaką dysponuje miniFlame, wskazuje na fakt, że narzędzie było używane do ściśle ukierunkowanych operacji cyberszpiegowskich, i stosowane najprawdopodobniej wewnątrz maszyn, które były już wcześniej zainfekowane przez Flame’a lub Gaussa.  

Wykrycie

Wykrycie miniFlame’a zbiegło się w czasie ze szczegółową analizą Flame’a i Gaussa. W lipcu 2012 r. eksperci z Kaspersky Lab zidentyfikowali nowy moduł Gaussa o nazwie kodowej „John” i znaleźli odwołania do tego samego modułu w plikach konfiguracyjnych Flame’a. Kolejna analiza serwerów centrum kontroli Flame'a, przeprowadzona we wrześniu 2012 r, pomogła ujawnić  fakt, że odkryty moduł jest w istocie osobnym szkodliwym programem, jednak może zostać wykorzystany przez Gaussa i Flame’a jako „wtyczka”. W kodzie oryginalnych serwerów centrum kontroli Flame’a, miniFlame posiadał nazwę kodową „SPE”.

Eksperci z Kaspersky Lab wykryli sześć różnych wariantów szkodnika miniFlame – wszystkie datowane na okres 2010/2011 r. Jednocześnie analiza miniFlame’a wskazuje na jeszcze wcześniejszy termin zapoczątkowania rozwoju tego szkodliwego oprogramowania – nie później niż w roku 2007. Możliwość użycia miniFlame’a jako wtyczki Flame’a lub Gaussa wyraźnie wskazuje na współpracę pomiędzy grupami opracowującymi i rozwijającymi projekty Gauss oraz Flame. Ponieważ związek pomiędzy Flamem i Stuxnetem / Duqu został już ujawniony, można stwierdzić, że wszystkie te zaawansowane zagrożenia pochodzą z tej samej „cybernetycznej zbrojowni”.

Funkcjonalność

Oryginalny wektor infekcji miniFlame’a nie jest jeszcze określony. Zakładając potwierdzony związek pomiędzy miniFlamem, Flamem i Gaussem, miniFlame mógł być instalowany na komputerach zainfekowanych przez Flame’a lub Gaussa. Po zainstalowaniu miniFlame funkcjonuje jako backdoor i umożliwia napastnikom wyciągnięcie z zainfekowanej maszyny dowolnych plików. Dodatkowe funkcje kradzieży danych zawierają możliwość wykonywania zrzutów ekranu zainfekowanej maszyny podczas pracy z określonymi programami lub aplikacjami, takimi jak: przeglądarki internetowe, aplikacje pakietu Microsoft Office, Adobe Reader, usługa komunikatora internetowego lub klienta FTP. miniFlame przesyła skradzione dane łącząc się ze swoim serwerem kontroli (który może być niezależny lub „współdzielony” z Flamem). Na osobne żądanie operatora do zainfekowanego systemu może zostać dosłany dodatkowy moduł wyspecjalizowany w kradzieży danych, infekujący napędy USB i wykorzystujący je do przechowywania danych, które są pobierane z zainfekowanych komputerów niedysponujących połączeniem internetowym.

Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab, całą sprawę skomentował następująco: „miniFlame to wysoce precyzyjne narzędzie ataku. Najprawdopodobniej jest to ukierunkowana cyberbroń, wykorzystywana w tym, co możemy określać mianem drugiej fali cyberataku. Najpierw Flame lub Gauss stosowane są do zakażenia tak wielu ofiar, jak to możliwe w celu gromadzenia dużych ilości informacji. Po zebraniu i przejrzeniu danych określana i identyfikowana jest potencjalnie interesująca ofiara, a miniFlame jest instalowany na jej komputerze w celu przeprowadzenia bardziej szczegółowego rekonesansu i cyberszpiegostwa. Wykrycie miniFlame’a dodatkowo utwierdza nas w przekonaniu o kooperacji, jaka istniała (i prawdopodobnie nadal istnieje) pomiędzy twórcami najbardziej znanych szkodliwych programów, wykorzystywanych do cybernetycznych operacji bojowych: Stuxneta, Duqu, Flame’a i Gaussa”.

Firma Kaspersky Lab dziękuje grupie CERT-Bund/BSI za nieocenioną pomoc udzieloną podczas prowadzenia tego dochodzenia.

Dodatkowe informacje na temat szkodnika miniFlame można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab Polska: http://www.viruslist.pl/weblog.html?weblogid=833.

Źródło: Kaspersky Lab


opublikowano: 2012-10-16
Komentarze
Polityka Prywatności