]Flame, también conocido como Flamer, sKyWIper, y Skywiper, es un malware modular descubierto en 2012 que ataca ordenadores con el sistema operativo Microsoft Windows. El programa se ha usado para llevar a cabo ataques de ciber espionaje en países de Oriente Medio. Su descubrimiento fue anunciado el 28 de mayo de 2012 por MAHER (el Equipo de Respuesta ante Emergencias Informáticas de Irán), Kaspersky Lab6 y el CrySyS Lab. de la Universidad de Tecnología y Economía de Budapest. Este último afirma que "sKyWIper es el malware más sofisticado que hemos encontrado durante nuestros años de trabajo, es el malware más complejo que se ha encontrado".
Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de teclado y tráfico de red. El programa también graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener información de los dispositivos bluetooth cercanos. Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.
De acuerdo a las estimaciones de Kaspersky, Flame ha infectado aproximadamente 1.000 máquinas. Entre las víctimas se encuentran organizaciones gubernamentales, instituciones educativas y usuarios privados. En mayo de 2012, los países más afectados son Irán, Israel, Sudán, Siria, Líbano, Arabia Saudí y Egipto.
Historia
Flame fue identificado en mayo de 2012 por Kaspersky Lab, MAHER (el Equipo de Respuesta ante Emergencias Informáticas de Irán) y el CrySyS Lab de la Universidad de Tecnología y Economía de Budapest cuando la Unión Internacional de Telecomunicaciones pidió a Kaspersky Lab que investigara unos informes sobre un virus que estaba afectando a los ordenadores del Ministerio del Petróleo de Irán. Mientras Kaspersky investigaba, encontraron un hash MD5 y un nombre de archivo que solo aparecía en ordenadores de Oriente Medio. Después de descubrir más piezas, los investigadores nombraron al programa como "Flame".
Según Kaspersky, Flame ha estado operativo al menos desde febrero de 2010. CrySyS informa que el nombre de archivo del componente principal ha sido visto por primera vez en diciembre de 2007. Sin embargo, su fecha de creación no puede ser determinada directamente, puesto que las fechas de creación han sido manipuladas a fechas anteriores a 1994.
Algunos expertos en informática lo consideran el causante del ataque que en abril de 2012 causó que los terminales de las petroleras de Irán fueran desconectados de Internet. En el momento del ataque la agencia de noticias Iranian Students se refirió al malware como "Wiper". Sin embargo, Kaspersky Lab cree que Flame puede ser "una infección completamente separada" del malware Wipe. Debido al tamaño y a la complejidad del programa, descrito como veinte veces más complicado que Stuxnet, Kaspersky declaró que un análisis completo puede llevar hasta diez años.
El 28 de mayo, el Equipo de Respuesta ante Emergencias Informáticas de Irán anunció que habían desarrollado un programa que detectaba y eliminaba Flame y que había distribuido este a "organizaciones seleccionadas" durante varias semanas.
Especificaciones
El malware tiene un tamaño inusual grande de 20 MB, está escrito parcialmente en el lenguaje de programación interpretado Lua con código C++ compilado y permite que otros módulos atacantes sean cargados después de la infección inicial. El malware usa cinco métodos diferentes de cifrado y una base de datos SQLite para almacenar información. El método usado para inyectar el código en varios procesos es silencioso, de forma que los módulos malware no aparecen en la lista de los módulos cargados en un proceso y las páginas de memoria son protegidas con los permisos READ, WRITE y EXECUTE que la hacen inaccesible para las aplicaciones en modo usuario. El código interno tiene pocas similitudes con otros malware, pero aprovecha dos vulnerabilidades que también fueron usadas previamente por Stuxnet para infectar sistemas. El malware determina qué software antivirus está instalado en el sistema y modifica su comportamiento (por ejemplo, cambiando la extensión de archivo que utiliza) para reducir la probabilidad de ser detectado por ese software. Indicadores adicionales de que un sistema está infectado son la exclusión mutua (mutex) y la actividad del registro. También la instalación de un driver de audio falso que permite al software iniciarse al arrancar el sistema.
Uso
Al igual que otras ciber-armas conocidas, Stuxnet y Duqu, Flame se emplea en objetivos concretos y puede eludir el software de seguridad actual a través de un rootkit.
Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de teclado y tráfico de red. El programa también graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener información de los dispositivos bluetooth cercanos. Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.
A diferencia de Stuxnet, el cual fue diseñado para dañar procesos industriales, Flame parece haber sido escrito solo con propósitos de espionaje. No parece dirigirse a un sector determinado, sino que más bien es "un conjunto de herramientas diseñadas para el ciber-espionaje".
Flame no contiene una fecha predefinida en la cual se desactiva, pero permite a los operadores enviar un comando "kill" que elimina todos sus rastros de un sistema.
Especulación sobre su origen
Según Eugene Kaspersky, "la ubicación geografía de los objetivos y la complejidad de la amenaza no dejan dudas acerca de que existe un estado-nación apoyando el desarrollo de este malware." También añade que este malware no se parece a Stuxnet, pero puede haber sido un proyecto paralelo solicitado por los mismos atacantes.
El Equipo de Respuesta ante Emergencias Informáticas de Irán afirma que el cifrado del malware tiene "un patrón especial que solo se ve procedente de Israel." The Daily Telegraph informó que debido a los aparentes objetivos, los cuales incluyen a Irán, Siria y Cisjordania, Israel se convirtió en "sospechoso de los comentaristas principales". Otros comentaristas nombraron a China y EE. UU. como posibles autores. Richard Silverstein, un comentarista crítico con las políticas de Israel, declaró que el había confirmado con una "fuente israelí de alto rango" que el malware fue creado por expertos informáticos de Israel. The Jerusalem Post escribió que el Viceprimer Ministro israelí Moshe Ya'alon parece haber dado a entender que su gobierno fue el responsable, mientras que funcionarios de seguridad de Israel señalaron que las máquinas infectadas en Israel son una prueba de que EE. UU. está detrás del malware.
Una red de 80 servidores a lo largo de Asia, Europa y América del Norte han sido usados para acceder a las máquinas infectadas de forma remota.
Gracias y Comenten
[/size]
Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de teclado y tráfico de red. El programa también graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener información de los dispositivos bluetooth cercanos. Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.
De acuerdo a las estimaciones de Kaspersky, Flame ha infectado aproximadamente 1.000 máquinas. Entre las víctimas se encuentran organizaciones gubernamentales, instituciones educativas y usuarios privados. En mayo de 2012, los países más afectados son Irán, Israel, Sudán, Siria, Líbano, Arabia Saudí y Egipto.
Historia
Flame fue identificado en mayo de 2012 por Kaspersky Lab, MAHER (el Equipo de Respuesta ante Emergencias Informáticas de Irán) y el CrySyS Lab de la Universidad de Tecnología y Economía de Budapest cuando la Unión Internacional de Telecomunicaciones pidió a Kaspersky Lab que investigara unos informes sobre un virus que estaba afectando a los ordenadores del Ministerio del Petróleo de Irán. Mientras Kaspersky investigaba, encontraron un hash MD5 y un nombre de archivo que solo aparecía en ordenadores de Oriente Medio. Después de descubrir más piezas, los investigadores nombraron al programa como "Flame".
Según Kaspersky, Flame ha estado operativo al menos desde febrero de 2010. CrySyS informa que el nombre de archivo del componente principal ha sido visto por primera vez en diciembre de 2007. Sin embargo, su fecha de creación no puede ser determinada directamente, puesto que las fechas de creación han sido manipuladas a fechas anteriores a 1994.
Algunos expertos en informática lo consideran el causante del ataque que en abril de 2012 causó que los terminales de las petroleras de Irán fueran desconectados de Internet. En el momento del ataque la agencia de noticias Iranian Students se refirió al malware como "Wiper". Sin embargo, Kaspersky Lab cree que Flame puede ser "una infección completamente separada" del malware Wipe. Debido al tamaño y a la complejidad del programa, descrito como veinte veces más complicado que Stuxnet, Kaspersky declaró que un análisis completo puede llevar hasta diez años.
El 28 de mayo, el Equipo de Respuesta ante Emergencias Informáticas de Irán anunció que habían desarrollado un programa que detectaba y eliminaba Flame y que había distribuido este a "organizaciones seleccionadas" durante varias semanas.
Especificaciones
El malware tiene un tamaño inusual grande de 20 MB, está escrito parcialmente en el lenguaje de programación interpretado Lua con código C++ compilado y permite que otros módulos atacantes sean cargados después de la infección inicial. El malware usa cinco métodos diferentes de cifrado y una base de datos SQLite para almacenar información. El método usado para inyectar el código en varios procesos es silencioso, de forma que los módulos malware no aparecen en la lista de los módulos cargados en un proceso y las páginas de memoria son protegidas con los permisos READ, WRITE y EXECUTE que la hacen inaccesible para las aplicaciones en modo usuario. El código interno tiene pocas similitudes con otros malware, pero aprovecha dos vulnerabilidades que también fueron usadas previamente por Stuxnet para infectar sistemas. El malware determina qué software antivirus está instalado en el sistema y modifica su comportamiento (por ejemplo, cambiando la extensión de archivo que utiliza) para reducir la probabilidad de ser detectado por ese software. Indicadores adicionales de que un sistema está infectado son la exclusión mutua (mutex) y la actividad del registro. También la instalación de un driver de audio falso que permite al software iniciarse al arrancar el sistema.
Uso
Al igual que otras ciber-armas conocidas, Stuxnet y Duqu, Flame se emplea en objetivos concretos y puede eludir el software de seguridad actual a través de un rootkit.
Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de teclado y tráfico de red. El programa también graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener información de los dispositivos bluetooth cercanos. Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.
A diferencia de Stuxnet, el cual fue diseñado para dañar procesos industriales, Flame parece haber sido escrito solo con propósitos de espionaje. No parece dirigirse a un sector determinado, sino que más bien es "un conjunto de herramientas diseñadas para el ciber-espionaje".
Flame no contiene una fecha predefinida en la cual se desactiva, pero permite a los operadores enviar un comando "kill" que elimina todos sus rastros de un sistema.
Especulación sobre su origen
Según Eugene Kaspersky, "la ubicación geografía de los objetivos y la complejidad de la amenaza no dejan dudas acerca de que existe un estado-nación apoyando el desarrollo de este malware." También añade que este malware no se parece a Stuxnet, pero puede haber sido un proyecto paralelo solicitado por los mismos atacantes.
El Equipo de Respuesta ante Emergencias Informáticas de Irán afirma que el cifrado del malware tiene "un patrón especial que solo se ve procedente de Israel." The Daily Telegraph informó que debido a los aparentes objetivos, los cuales incluyen a Irán, Siria y Cisjordania, Israel se convirtió en "sospechoso de los comentaristas principales". Otros comentaristas nombraron a China y EE. UU. como posibles autores. Richard Silverstein, un comentarista crítico con las políticas de Israel, declaró que el había confirmado con una "fuente israelí de alto rango" que el malware fue creado por expertos informáticos de Israel. The Jerusalem Post escribió que el Viceprimer Ministro israelí Moshe Ya'alon parece haber dado a entender que su gobierno fue el responsable, mientras que funcionarios de seguridad de Israel señalaron que las máquinas infectadas en Israel son una prueba de que EE. UU. está detrás del malware.
Una red de 80 servidores a lo largo de Asia, Europa y América del Norte han sido usados para acceder a las máquinas infectadas de forma remota.
Gracias y Comenten
