Vi ricordate dei malware Stuxnet e Duqu, entrambi utilizzati per attività di spionaggio industriale? È di queste ore la scoperta di una nuova pericolosa minaccia che sarebbe già stata impiegata per sottrarre dati sensibili ed informazioni segrete gestite da organizzazioni governative medio-orientali. Battezzato Flame, il malware è piuttosto “pesante” e si comporrebbe di numerosi moduli utilizzabili per sferrare attacchi estremamente evoluti. I tecnici di Kaspersky, dopo aver analizzato la minaccia, hanno rilevato come essa sia estremamente complessa, un’arma informatica per compiere attacchi in diversi Paesi. Ben lungi da inutili sensazionalismi, secondo gli esperti di Kaspersky, la complessità e le funzionalità del malware sarebbero superiori rispetto a tutte le minacce informatiche ad oggi conosciute.
Flame esula dai classici schemi dei malware di tipo tradizionale: occupa ben 20 MB (molto più dei 500 KB di “Stuxnet” e “Duqu” ai quali sembra volersi direttamente ispirare) e si configura come una sorta di cassetta degli attrezzi contenente una serie di strumenti molto evoluti. Una volta insediatosi su un sistema, infatti, Flame può intercettare il traffico di rete, scattare automaticamente delle “istantanee” memorizzando graficamente le informazioni via a via visualizzate sullo schermo, registrare i tasti premuti dall’utente, le conversazioni in corso mediante l’uso del microfono, comunicare con i dispositivi posti nelle vicinanze attraverso l’uso dello standard Bluetooth, rubare informazioni memorizzate sul disco fisso (documenti, file e contatti).
Vitaly Kamluk, uno dei responsabili dei laboratori Kaspersky, spiega che le prime versioni di Flame sono state create nel 2010 ma aggiunge che le sue funzionalità sono state ampiamente estese in periodi successivi proprio sfruttando l’architettura modulare del malware.
Porzioni di Flame sono state realizzate utilizzando il linguaggio di programmazione LUA. Kamluk afferma come nessuna minaccia informatica, prima d’ora, abbia utilizzato tale linguaggio, sinora impiegato quasi esclusivamente per lo sviluppo di videogiochi.
Per diffondersi da un sistema all’altro, Flame utilizza le connessioni USB: in particolare, cerca di infettare il sistema non appena venga collegata una chiavetta precedentemente aggredita dal malware. In alternativa, Flame cerca di far leva su una vulnerabilità di Windows che è stata già sanata da parte di Microsoft con il rilascio di un’apposita patch risolutiva (MS10-061; l’articolo che avevamo pubblicato a suo tempo è disponibile qui; la stessa vulnerabilità fu sfruttata anche da Stuxnet).
Allo stato attuale, secondo quanto affermato dai tecnici di Kaspersky, sembra che Flame non sfrutti alcuna vulnerabilità sconosciuta o comunque non ancora sanata. Il fatto che Flame sia comunque riuscito ad infettare un sistema Windows 7 correttamente aggiornato mediante l’installazione di tutte le patch periodicamente rilasciate da Microsoft non esclude l’eventualità di un attacco zero-day (si chiamano così quelle lacune di sicurezza già sfruttate per sferrare attacchi per le quali non è disponibile alcuna patch risolutiva).
Flame sarebbe già stato usato, ormai da qualche anno, per condurre attacchi mirati. Com’è possibile che il malware abbia potuto celare le sue attività per così tanto tempo? Kamluk ha risposto facendo presente come Flame adatti dinamicamente il suo comportamento alla configurazione del sistema infettato. Sulle macchine che usano software antivirus ed antimalware, Flame non esegue azioni che possano far drizzare le antenne alle soluzioni per la sicurezza installate.
Le infezioni, secondo gli approfondimenti condotti da Kaspersky Lab, si sarebbero concentrate in Paesi quali Iran, Israele, Sudan, Siria, Libano, Egitto ed Arabia Saudita. Symantec, invece, afferma di aver rilevato precedenti infezioni dirette anche nei confronti di altre nazioni quali Ungheria, Austria, Russia, Hong Kong ed Emirati Arabi Uniti. L’azienda californiana non esclude, però, che possa essersi trattato di macchine già infette che sono state portate, ad esempio durante un viaggio, in altri Paesi.
Flame sarebbe stato usato come piede di porco per fare razzìa di dati personali ed informazioni confidenziali sui sistemi informatici di proprietà di agenzie governative, aziende private, poli didattici e singoli individui. Al momento non è dato sapere quali dati possano essere stati sottratti dal momento che gli autori di Flame possono decidere di volta in volta quali moduli attivare sulla base del bersaglio da aggredire.
Marco Giuliani, direttore della società di sicurezza italiana ITSEC, spiega che il quadro è per ora tutt’altro che chiaro. Sono in corso indagini approfondite per tracciare un identikit più preciso di Flame e, soprattutto, per cercare di stabilire i “vettori di attacco”. Non è infatti escluso che il malware possa avere sfruttato non solamente chiavette USB infette o la vulnerabilità sanata da Microsoft con il rilascio della patch MS10-061 ma anche pagine web malevole allestite appositamente per far leva su altre lacune di sicurezza (attacchi del tipo “drive-by download“).
“Secondo le nostre analisi, le prime tracce di Flame risalirebbero addirittura al 2008“, ci ha rivelato Giuliani, ben prima – quindi – della finestra temporale cui ha fatto riferimento Kaspersky. “La patch MS10-061 è stata rilasciata da Microsoft solo il 14 settembre 2010. Ciò significa che Flame potrebbe aver avuto vita facile ed essersi diffuso molto velocemente per un lungo lasso di tempo, quasi due anni“.