Kaspersky Lab scopre “miniFlame”, un nuovo programma nocivo progettato per operazioni di spionaggio informatico mirate

15 ott
Notizie Virus

Oggi Kaspersky Lab ha annunciato la scoperta di miniFlame, un programma nocivo piccolo e molto flessibile, progettato per sottrarre i dati e controllare i sistemi infetti durante le operazioni di spionaggio informatico mirate.

miniFlame, conosciuto anche con il nome di SPE, è stato rilevato dagli esperti di Kaspersky Lab nel luglio 2012 e inizialmente era stato identificato come un modulo di Flame. Tuttavia, a settembre 2012, il team di ricercatori di Kaspersky Lab ha condotto un’approfondita analisi sui server Comand & Control (C&C) di Flame e da questa indagine è emerso che il modulo miniFlame era in realtà uno strumento interoperabile, che poteva essere utilizzato come un programma nocivo indipendente o come plug-in per i malware Flame e Gauss.

L’analisi di miniFlame ha mostrato che erano presenti diverse versioni realizzate tra il 2010 e il 2011, con alcune varianti in circolazione ancora attive. Dall’indagine è emersa anche la collaborazione tra i creatori di Flame e Gauss, dal momento che entrambi i malware possono utilizzare miniFlame come plug-in nelle proprie operazioni.

Risultati principali:

  • miniFlame, chiamato anche SPE, è basato sulla stessa piattaforma di Flame. Questa può agire come programma di spionaggio informatico indipendente o come componente interno di Flame e Gauss.
  • Gli strumenti per le operazioni di spionaggio informatico funzionano come una backdoor, sono progettati per rubare dati e avere un accesso diretto ai sistemi infetti.
  • Lo sviluppo di miniFlame potrebbe essere iniziato già nel 2007 ed è proseguito fino alla fine del 2011. Si presume siano state create molte varianti. Fino ad oggi, Kaspersky Lab ha identificato sei di queste varianti, che coprono due generazioni: 4.x e 5.x.
  • A differenza di Flame o Gauss, che avevano provocato un elevato numero di infezioni, la quantità di infezioni da parte di miniFlame è più ridotta. Secondo i dati di Kaspersky Lab, il numero di infezioni è compreso tra le 10 e le 20 macchine. Il numero totale di infezioni nel mondo è stimata invece tra le 50 e le 60 macchine.
  • Il numero di infezioni insieme con le funzionalità specifiche per il furto di informazioni presenti in miniFlame e il design flessibile, indica che è stato utilizzato per molti attacchi mirati di spionaggio informatico ed è stato molto probabilmente distribuito attraverso macchine già infettate in precedenza da Flame o Gauss.

Scoperta

La scoperta di miniFlame è avvenuta durante l’analisi approfondita condotta su Flame e Gauss. A luglio 2012, gli esperti di Kaspersky Lab hanno identificato un ulteriore modulo di Gauss, codificato con il nome “John” e hanno trovato riferimenti allo stesso modulo all’interno dei file di configurazione di Flame. La successiva analisi sui server di command and control di Flame, condotta a settembre 2012, ha contribuito a rivelare che il modulo appena scoperto era un programma nocivo indipendente, che poteva essere usato come un "plug-in" sia da Gauss che da Flame. miniFlame è stato chiamato con nome in codice SPE nel codice dei server C&C di Flame .

Kaspersky Lab ha scoperto sei differenti varianti di miniFlame che risalivano ad un periodo compreso tra il 2010 e il 2011. Allo stesso tempo, dall’analisi dei punti fondamentali di miniFlame, è emerso che è stato creato non prima del 2007. L’abilità di miniFlame di poter essere utilizzato come plug-in da Flame o Gauss testimonia la collaborazione fra i due team di sviluppo di questi malware. Dal momento che la connessione tra Flame e Stuxnet/Duqu è già stata rilevata, si può concludere che tutte queste minacce avanzate provengano dalla stessa fabbrica che produce armi per la "guerra informatica".

 

Funzionalità

Il vettore originale di infezione di miniFlame è già stato determinato. Dato il rapporto già confermato tra miniFlame, Flame e Gauss, si può dedurre quindi che miniFlame può essere installato su macchine già infettate da questi malware. Una volta installato, miniFlame opera come una backdoor e consente agli operatori del malware di avere accesso a tutti i file presenti sulla macchina infetta.

Altre funzionalità in grado di sottrarre le informazioni includono anche la capacità di acquisire screenshot di un computer infetto mentre è in esecuzione un programma o un'applicazione specifica, come un browser Web, Microsoft Office, Adobe Reader, un servizio di instant message o un client FTP. miniFlame carica i dati rubati, collegandosi al server C&C (che può essere unico o condiviso con i C&C di Flame). Separatamente, alla richiesta dell’operatore C&C di miniFlame, un modulo addizionale che sottrae i dati può essere inviato ad un sistema infetto, che a sua volta può infettare unità USB e le utilizza per memorizzare i dati raccolti dal computer infetto senza bisogno di una connessione internet.

Alexander Gostev, Chief Security Expert, Kaspersky Lab, ha dichiarato: “miniFlame è uno strumento di attacco molto preciso. Molto probabilmente è un’arma informatica utilizzata in quella che può essere definita come la seconda ondata di attacchi mirati. Prima Flame e Gauss sono stati utilizzati per infettare il maggior numero di macchine e raccogliere grandi quantità di informazioni. Dopo che i dati sono stati raccolti e analizzati, viene identificata una vittima potenzialmente interessante e a questo punto miniFlame viene installato al fine di svolgere operazioni approfondite di spionaggio informatico. La scoperta di miniFlame è un’ulteriore dimostrazione della cooperazione fra i creatori dei più importanti programmi nocivi impiegati nelle operazioni della guerra informatica: Stuxnet, Duqu, Flame e Gauss”.
Kaspersky Lab ringrazia il CERT-Bund/BSI per il supporto offerto durante questa indagine.

Ulteriori dettagli su miniFlame si possono trovare su Securelist.com: TBD
Il report completo su miniFlame è disponibile per il download a questo link: