Il ritorno di Flame: tre nuove "varianti" all'orizzonte?

Vi ricordate Flame, il sofisticato malware appositamente studiato per sottrarre informazioni segrete memorizzate sui sistemi di organizzazioni governative (in particolare medio-orientali; vedere l’articolo Flame, un sofisticato malware ruba informazioni “segrete”)? La minaccia torna a far parlare di sé.
Dopo una più approfondita analisi sul comportamento di Flame, si è stabilito che l’esemplare scoperto alcuni mesi fa ed immediatamente correlato al precedente Stuxnet (vedere anche l’articolo Flame si suicida, per far perdere le tracce dei suoi autori) potrebbe essere solamente uno dei quattro malware ad essere stati concepiti dal medesimo team di sviluppo (la cui identità è ad oggi sconosciuta).

L’ultima ricerca, frutto della collaborazione tra Symantec, Kaspersky, il team dell’ITU (International Telecommunication Union) che si occupa di sicurezza informatica (IMPACT) ed il centro anticrimine informatico tedesco, ha messo in evidenza come Flame possa essere stato messo a punto addirittura sei anni fa, nel 2006, ben prima di quanto si è ritenuto sino ad oggi.

La struttura del meccanismo “command-and-control” (l’architettura client-server che consente agli aggressori di comandare a distanza le varie istanze del malware impartendo, di volta in volta, precise istruzioni sulle operazioni da svolgere sui sistemi infetti) utilizzato da Flame, infatti, lascia presagire l’esistenza di tre ulteriori varianti del malware che sino ad oggi non sono mai state esaminate dai ricercatori e le cui caratteristiche non sono note.
Alcuni indizi farebbero ritenere che tali nuovi esemplari di Flame potrebbero essere attualmente in fase di sviluppo oppure ancora non effettivamente abilitati.

Flame, lo ricordiamo, è una sorta di “coltellino svizzero” per lo spionaggio telematico: il malware, infatti, integra una serie di strumenti per la sottrazione delle informazioni inserite nei moduli online, la raccolta di password e di altri dati personali, la registrazione delle conversazioni audio e delle schermate video. Secondo diversi ricercatori, Flame potrebbe aver giocato un ruolo chiave nel fare da apripista alle infezioni da Stuxnet, malware che è stato impiegato per alterare il funzionamento di grandi complessi industriali d’importanza strategica (i.e. strumenti per il controllo industriale dei siti di raffirazione dell’uranio in Iran).

Ciò che ha sorpreso i ricercatori di Kaspersky è la presenza, nel codice di Flame, degli pseudonimi di coloro che sembrano i quattro autori del malware. Uno dei programmatori, spiegano i tecnici di Kaspersky, sembra il responsabile del progetto mentre un altro individuo l’esperto di crittografia avanzata.
Sebbene, secondo le stime, Flame possa aver sottratto circa 5,5 GB di dati compressi in appena una settimana di attività, pare proprio – per ragioni al momento non ben chiare – che gli sviluppatori del malware non siano più riusciti ad accedere ad uno dei server di appoggio utilizzati per la memorizzazione dei dati trafugati. Secondo gli esperti, inoltre, gli autori di Flame avrebbero commesso un secondo errore: si sarebbero dimenticati di cancellare i file di log nei quali è annotato il numero di computer infetti e gli IP interessati. Durante una sola settimana, a cavallo fra la fine di marzo e l’inizio di aprile, il log presentava più di 3.700 IP iraniani e 1.280 indirizzi sudanesi. “Le nostre precedenti statistiche non evidenziavano un così elevato numero di infezioni anche in Sudan. Ne consegue che devono esserci state due differenti campagne in Iran ed in Sudan“, si osserva da Kaspersky.