Flame, il nuovo worm che eleva la guerra digitale a un altro livello

Kaspersky LabFlame, il nuovo malware scoperto da Kaspersky Lab, è un worm che sembra scritto appositamente per combattere una guerra digitale. Più pericoloso di Stuxnet e Duqu, è stato rintracciato durante una ricerca commissionata dall’International Telecommunication Union (ITU), una divisione delle Nazioni Unite. Lo annuncia Alexander Gostev.

Il nuovo virus riassume le caratteristiche dei backdoor, dei trojan: si riproduce con lo stesso meccanismo dei worm. A dispetto dei metadata, che riportano all’inizio degli anni ’90, Flame è stato scritto tra il 2010 e il 2012. Ha colpito l’area mediorientale. In particolare, Iran, Palestina, Siria, Libano, Arabia Saudita ed Egitto.

L’ungherese CrySys Lab aveva già identificato lo stesso malware, chiamandolo SkyWiper. La definizione di Flame deriva, invece, dal Computer Emergency Response Team (CERT) iraniano, che l’ha identificato come Flamer. Occupa fino a 20Mb: scritto in Lua, integra SQLite e varie librerie per effettuare una serie di operazioni complesse.

Ad esempio, Flame è in grado di registrare le telecomunicazioni, prendere il controllo dei dispositivi d’immissione e salvare screenshot sui terminali infetti. Rispetto a Stuxnet, Flame è venti volte più “pesante” e non è stato concepito per un target preciso: un sistema di plugin permette di effettuare operazioni diverse fra loro.

Differentemente da Duqu – definito «il primo dei successori» di Stuxnet – il codice di Flame non parrebbe derivare da altri malware affini. Alcuni dei server di Command & Control (C&C) dai quali è partita la diffusione del virus sarebbero tuttora attivi, insieme ai relativi domini. Flame è già stato identificato in diverse varianti.

Sebbene non faccia parte della piattaforma cd. tilded, è presumibile che Flame sia stato realizzato dopo la scoperta di Stuxnet e Duqu. Ogni singolo attacco utilizza una media di sette plugin, fino a un totale di quindici, per recuperare le informazioni: ne sono stati rintracciati venti diversi. La prima infezione è del marzo 2010.

Via | Securelist

Flame, il nuovo worm che eleva la guerra digitale a un altro livello é stato pubblicato su Downloadblog.it

Kaspersky ha individuato l’esistenza di un legame tra Duqu e Stuxnet

Kaspersky Lab

Duqu, il trojan trovato da Symantec in ottobre, non è il successore di Stuxnet: Kaspersky Lab ha studiato il fenomeno, concludendo che entrambe le infezioni sono state sviluppate nel 2007 e dagli stessi programmatori. Probabilmente, sono soltanto due componenti di una piattaforma molto più complessa. E tuttora in fase d’evoluzione.

Il legame tra i due malware è evidenziato, in particolare, dalla presenza di alcuni file che ne costituiscono i driver. Stuxnet, infatti, è un worm molto complesso – prevede addirittura quattromila diverse funzioni – ed è stato concepito per una piattaforma specifica, che richiede l’utilizzo di driver. È lo stesso discorso per Duqu.

Come abbiamo visto, Duqu ha un funzionamento completamente diverso da Stuxnet: sembrerebbe un semplice trojan, realizzato per introdursi da remoto in un sistema e auto–distruggersi dopo un periodo d’incubazione di trentasei giorni. Non è difficile che Duqu sia stato diffuso prima di Stuxnet per recuperare le informazioni sensibili.

Stuxnet altera il funzionamento dei macchinari a controllo numerico. Nello specifico, è orientato alle turbine utilizzate nelle centrifughe degli impianti d’arricchimento dell’uranio di Natanz in Iran. Duqu, invece, funziona su normali computer. Sebbene contenga dei driver specifici delle macchine industriali, entrambi per Windows.

La creazione della piattaforma “tilde”, per la tendenza a utilizzare il simbolo ~ nei nomi dei file generati, risponderebbe a un’esigenza molto meno politica di quanto si pensasse. Nonostante l’applicazione alle turbine di Natanz, Stuxnet e Duqu non sono stati creati per «una guerra informatica». Bensì per lo spionaggio industriale.

Non sono stati individuati i programmatori di Duqu, Stuxnet e altri potenziali componenti della piattaforma: dal 2007 ad oggi è possibile che il software sia stato aggiornato per sottrarre altri dettagli alla filiera industriale. Natanz potrebbe essere stato solamente il frutto di una coincidenza per l’utilizzo di SCADA da Siemens.

Via | Digital Trends

Kaspersky ha individuato l’esistenza di un legame tra Duqu e Stuxnet é stato pubblicato su Downloadblog.it