Kaspersky Lab descobre “miniFlame”, um novo programa malicioso concebido para ataques de ciber-espionagem

15 out 2012
Notícias de Vírus

A Kaspersky Lab anuncia a descoberta do miniFlame, um pequeno programa malicioso e altamente flexível concebido para roubar dados e controlar sistemas infectados durante operações de ciber espionagem dirigidas a alvos concretos.

O MiniFlame, também conhecido como SPE, foi descoberto pelos analistas da Kaspersky Lab em Julho de 2012, e foi originalmente identificado como um módulo do Flame. No entanto, em Setembro de 2012, os investigadores da Kaspersky Lab realizaram uma análise em profundidade aos servidores C&C do Flame e descobriram que o módulo miniFlame era realmente uma ferramenta interoperável que pode ser utilizada como um programa malicioso independente ou simultaneamente como um plug-in para os programas do malware Flame ou Gauss.

As análises ao miniFlame demostraram que existem várias versões criadas entre 2010 e 2011, com algumas variantes ainda activas. As análises também revelaram novas evidências da cooperação entre os criadores do Flame e do Gauss, já que ambos os programas maliciosos podem usar o miniFlame como “plug-in” para as suas operações.

Principais descobertas:

  • O miniFlame, também conhecido como SPE, baseia-se na mesma plataforma de arquitectura do Flame. Pode funcionar como um programa de ciber-espionagem independente ou como um componente do Flame e do Gauss.
  • A ferramenta de ciber-espionagem opera como um backdoor desenhado para o roubo de dados e acesso directo a sistemas infectados.
  • É possível que o desenvolvimento do miniFlame tenha tido início em 2007 e continuado até finais de 2011. Supõe-se que foram criadas muitas variações. À data de hoje, a Kaspersky Lab já detectou seis destas modificações, identificando duas gerações principais: 4.x e 5.x .
  • Ao contrário do Flame ou do Gauss, que têm um grande número de infecções, a quantidade de infecções do miniFlame é muito menor. De acordo com os dados da Kaspersky Lab, o número de máquinas infectadas é de 10 a 20. O número total de infecções no mundo é de 50-60.
  • O número de infecções combinado com as funcionalidades de roubo de dados do miniFlame e o seu design flexível indica que tem sido utilizado para operações de ciber-espionagem com alvos concretos, e foi desenvolvido principalmente para máquinas que já estão infectadas pelo Flame e pelo Gauss.

Descoberta

A descoberta do miniFlame aconteceu graças a uma análise em profundidade ao malware que compunha o Flame e o Gauss. Em Julho de 2012, os analistas da Kaspersky Lab identificaram um módulo adicional do Gauss, com o nome-chave “John” e encontraram referências do mesmo módulo nos arquivos de configuração do Flame. A análise aos servidores C&C do Flame de Setembro de 2012 ajudou a desvendar que o recém-descoberto módulo era, de facto, um programa malicioso separado, ainda que possa ser utilizado como “plug-in” para o Gauss e Flame. O miniFlame começou a utilizar o nome-chave de SPE, no código dos servidores C&C originais do Flame.

A Kaspersky Lab descobriu seis variações diferentes do miniFlame, todas datadas entre 2010 e 2011. Ao mesmo tempo, a análise ao miniFlame indicou que o desenvolvimento do malware começou ainda antes, muito provavelmente em 2007. A possibilidade de utilizar o miniFlame como um plug-in para o Flame ou Gauss liga os seus autores de uma maneira clara às equipas de desenvolvimento do Flame e Gauss. E uma vez que foi também descoberta uma ligação entre o Flame e o Stuxnet/Duqu, pode-se concluir que todas estas ameaças avançadas vêm da mesma “fábrica de ciber-guerra”.

Funcionalidade

O vector da infecção original do miniFlame ainda está por determinar. Dada a relação confirmada entre o miniFlame, Flame, e Gauss, o miniFlame pode ser instalado nos equipamentos já infectados pelo Flame ou pelo Gauss. Uma vez instalado, o miniFlame opera como um backdoor e permite operações de malware para obter qualquer arquivo de um equipamento infectado.

As suas capacidades adicionais de roubo de dados incluem a possibilidade de fazer capturas de ecrã do computador infectado enquanto está a utilizar um programa ou uma aplicação, como um browser, um programa do Microsoft Office, Adobe Reader, serviços de mensagens instantâneas ou um cliente FTP. O miniFlame carrega todos os dados roubados ligando ao seu servidor C&C (que pode ser único ou “partilhado” com o do Flame). Além disso, o operador C&C do miniFlame pode fazer com que um módulo adicional de roubo de dados seja enviado para um sistema infectado, que infecte discos USB e que os utilize para armazenar dados recolhidos de outros equipamentos, sem necessidade de que estes estejam sequer ligados à internet.

Alexander Gostev, Analista Chefe de Segurança da Kaspersky Lab afirma: “O miniFlame é uma ferramenta de ataque de grande precisão. O mais provável é que seja uma ciber-arma dirigida ao que se poderia chamar uma onda secundária de ciber-ataques. O Flame ou Gauss são primeiramente utilizados para infectar o maior número possível de equipamentos e recolher a maior quantidade de informação possível. Após a recolha dos dados, é definido e identificado um alvo potencial de vítimas de interesse, e o miniFlame é instalado para uma investigação e ciber-espionagem mais profunda. A descoberta do miniFlame oferece-nos provas adicionais da cooperação existente entre os criadores dos maiores programas maliciosos utilizados para a ciberguerra: Stuxnet, Duqu, Flame e Gauss.”

A Kaspersky Lab agradece ao CERT-Bund/BSI pela sua ajuda nesta investigação.

Pode encontrar mais detalhes sobre o miniFlame em Securelist.com: http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_and_his_friends

O relatório completo do miniFlame pode ser descarregado em: http://www.securelist.com/en/analysis/204792247/miniFlame_aka_SPE_Elvis_and_his_friends

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.