Descubren a "mini Flame", el hermano pequeño pero peligroso del virus Flame

Descubren a "mini Flame", el hermano pequeño pero peligroso del virus Flame

Este malware sólo infectaría a personas elegidas cuidadosamente, para llevar a cabo un ataque de alta precisión.

Los investigadores de Kaspersky llevan bastante tiempo haciendo excavaciones en torno a Flame, un sorprendente virus desarrollado para el ciberespionaje, aparentemente creado por Estados Unidos e Israel. Junto con Flame, los investigadores detectaron a Gauss, que permitía vigilar cuentas bancarias de personas espiadas, y "miniFlame", descubierto hace pocos días.

"MiniFlame es una herramienta de ataque de gran precisión. Lo más probable es que sea una ciberarma dirigida a lo que podría llamarse una ola secundaria de ciberataque. Se instala para una investigación y ciberespionaje en profundidad", dijo el experto de Kaspersky, Alexander Gostev.

Tal parece que es utilizado para obtener control y acceso para espiar a determinados computadores ya infectados con Flame o Gauss. De la misma forma como ocurrió con Flame y Gauss, miniFlame parece haber sido creado por los mismos autores de Stuxnet, la primera "arma de ciberguerra", diseñada para sabotear el programa nuclear iraní. Y esto podría ser sólo una pequeña parte del arsenal de ciberarmas, que todavía no conocemos.

MiniFlame sería un módulo que puede operar de forma independiente, o puede ser parte de otras herramientas de espionaje más grandes, como Flame o Gauss. El módulo está diseñado para robar datos y abrir una puerta trasera en las máquinas infectadas, entregando a los atacantes control sobre las máquinas. Una vez establecida esta puerta trasera, los atacantes pueden enviar comandos para realizar diferentes tareas (como tomar pantallazos, robar datos o descargar archivos, por ejemplo) en la máquina.

Flame y Gauss no permiten este control directo de los dispositivos infectados, como sí lo hace miniFlame. Los investigadores creen que se diseñó para víctimas muy específicas – apenas habría unos 50 casos infectados -, y que se usó en conjunto con los virus antes mencionados.

"En principio, Flame o Gauss se utilizan para infectar al mayor número posible de equipos y recoger la mayor cantidad de información. Después de que los datos son recogidos y revisados, se define e identifica un objetivo potencial de víctimas de interés, y miniFlame se instala para una investigación y ciberespionaje en profundidad", indicó Gostev.

Se piensa que un tiempo después de instalar miniFlame, los atacantes borraban al malware mayor, Flame. Hace un tiempo se descubrió un módulo llamado "browse32" presente en Flame que auto-destruye al virus, módulo que no afecta a miniFlame. Este último además "vacuna" al registro del equipo infectado y evita que, si vuelve a entrar en contacto con Flame, se contagie del virus.

Los investigadores de Kaspersky identificaron seis variantes de miniFlame, y creen que las variaciones pueden alcanzar algunas cuantas decenas. Cada una de las versiones parece estar enfocada a diferentes territorios, de modo que encontraron un tipo concentrado en el Líbano y territorios palestinos, mientras que otras variantes se encontraban en Irán, Qatar y Kuwait.

Kaspersky indica que la primera versión de miniFlame dataría de 2007.

Los investigadores descubrieron a este malware al obtener acceso a dos servidores de comando y control que los atacantes usaban para comunicarse con Flame. Luego de interceptar datos que iban desde máquinas infectadas con Flame hacia el servidor, los investigadores se sorprendieron al descubrir que había un segundo malware presente.

Se cree que se utilizan servidores especiales diferentes a los de Flame para enviar comandos hacia miniFlame, ya que el sistema interceptado por Kaspersky no tenía posibilidad de enviar este tipo de comandos. Entre el 28 de mayo y el 30 de septiembre, las máquinas infectadas con miniFlame contactaron al espía de Kaspersky unas 14.000 veces desde unas 90 IPs diferentes. La mayoría estaba basada en el Líbano (45 infecciones), seguido por Francia (24 infecciones).

Los investigadores han descubierto equipos infectados sólo con Flame, sólo con Gauss, algunas con Flame y miniFlame, y otras con Gauss y miniFlame. Un equipo del Líbano, sin embargo, tiene los tres – aparentemente alguien lo suficientemente importante para ser espiado por todo el malware. La IP de este equipo lleva a un ISP, de modo que no es fácil saber de quién es el dispositivo.

Links:
Full Analysis of Flame's Command & Control servers (Securelist)
State-Sponsored Malware ‘Flame’ Has Smaller, More Devious Cousin (Wired)