Kaspersky Lab ontdekt "miniFlame," een nieuw en schadelijk programma ontworpen voor zeer gerichte cyberspionageactiviteiten

15 okt 2012
Virus News

Kaspersky Lab, toonaangevend ontwikkelaar van oplossingen voor content- en netwerkbeveiliging, maakt vandaag de ontdekking van miniFlame bekend. Dit kleine, zeer flexibele kwaadaardige programma is ontworpen om tijdens doelgerichte cyberspionage-operaties data te stelen en de controle over te nemen van geïnfecteerde systemen.

miniFlame, ook wel bekend als SPE, werd in juli 2012 ontdekt door Kaspersky Lab experts en werd oorspronkelijk geïdentificeerd als een Flame-module. In september 2012 voerde het onderzoeksteam van Kaspersky Lab echter een grondige analyse uit van Flame's command & control servers (C&C). Uit deze analyse komt naar voren dat de miniFlame-module eigenlijk een inter-operabel instrument is dat te gebruiken is als een onafhankelijk kwaadaardig programma, of gelijktijdig als plug-in voor zowel Flame- als Gauss-malware.

De analyse van miniFlame toont aan dat tussen 2010 en 2011 verschillende versies werden gemaakt. Een aantal varianten hiervan zijn nog steeds actief. De analyse onthult tevens nieuw bewijs omtrent de samenwerking tussen de makers van Flame en Gauss, aangezien beide malwareprogramma's miniFlame kunnen gebruiken als een "plug-in" voor hun activiteiten.

Belangrijkste bevindingen:

  • miniFlame, ook wel bekend als SPE, is gebaseerd op het zelfde architectuurplatform als Flame. Het kan functioneren als een autonoom cyberspionageprogramma, of als een component in zowel Flame als Gauss.
  • De cyberspionage tool werkt als een achterdeur en is ontworpen voor de diefstal van gegevens en het verkrijgen van directe toegang tot geïnfecteerde systemen.
  • De ontwikkeling van miniFlame is mogelijk al in 2007 van start gegaan en bleef doorgaan tot eind 2011. Er wordt aangenomen dat talloze variaties zijn gecreëerd. Tot op heden heeft Kaspersky Lab zes van deze varianten geïdentificeerd, afkomstig uit twee belangrijke generaties: 4.x en 5.x.
  • In tegenstelling tot bij Flame en Gauss, die tot een groot aantal infecties leidden, is het aantal infecties bij miniFlame veel kleiner. Volgens eigen gegevens van Kaspersky Lab zijn tussen 10 en 20 machines geïnfecteerd. Het totale aantal infecties wereldwijd wordt geschat op 50-60.

Het aantal infecties geeft, in combinatie met miniFlame's informatiestelende functies en het flexibele ontwerp, aan dat het werd gebruikt voor zeer gerichte cyberspionageactiviteiten, en dat het hoogstwaarschijnlijk werd ingezet in machines die al waren geïnfecteerd door Flame of Gauss.

Extra informatie over miniFlame kunt u vinden op Securelist.com: http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_and_his_friends
Het volledige rapport over miniFlame kan hier worden gedownload: http://www.securelist.com/en/analysis/204792247/miniFlame_aka_SPE_Elvis_and_his_friends

© 1997 – 2014 Kaspersky Lab ZAO

All Rights Reserved. Industry-leading Antivirus Software