A análise relacionada ao miniFlame mostrou que houve várias versões criadas entre 2010 e 2011, com algumas variantes ainda ativas em seu estado selvagem. Esta análise também revelou novas evidências da cooperação entre os criadores de Flame e Gauss, pois ambos os programas maliciosos podem usar miniFlame como um "plug-in" para suas operações.
miniFlame foi descoberto por especialistas em segurança da Kaspersky Labs. Alvo dos cyber ataques seria o Oriente Médio.
Principais Conclusões Sobre miniFlame
miniFlame, também conhecido como SPE, é baseado na mesma plataforma de arquitetura do trojan FlameChama. Ele pode funcionar como seu programa de espionagem cibernética própria independente ou como um componente interno, tanto do Flame quanto do Gauss. A ferramenta de espionagem cibernética funciona como um backdoor, projetado para roubo de dados e acesso direto aos sistemas infectados.
O processo de desenvolvimento de miniFlame pode ter começado já em 2007 e continuou até o final de 2011. Até à data, a Kaspersky Lab identificou seis dessas variantes, que abrange duas gerações principais: 4.x e 5.x.
Diferente do Flame ou do Gauss, que foram responsáveis por um número elevado de infecções, a quantidade de infecções para miniFlame é muito menor. De acordo com os dados da Kaspersky, o número de infecções é entre 10-20 máquinas. O número total de infecções em todo o mundo está estimado em 50-60; o número de infecções combinados com informações de roubo de recursos e o design flexível do miniFlame indicam que ele foi usado para espionagem cibernética, em um porcesso focado extremamente em operações, e provavelmente foi implantado dentro de máquinas que já foram infectadas por Flame ou Gauss.
Descoberta do miniFlame
A descoberta da existência do miniFlame ocorreu durante a análise em profundidade do Flame e do Gauss. Em julho de 2012 especialistas da Kaspersky Lab identificaram um módulo adicional de Gauss, de codinome "John" e referências encontradas para o mesmo módulo em arquivos de configuração do Flame. A análise subsequente dos servidores do Flame (Comando e Controle), realizadas em setembro de 2012, ajudaram a revelar que o módulo recém-descoberto foi, de fato, um programa malicioso separado, embora possa ser usado como um "plug-in", de ambos os trojans em questão. Nesse contexto, miniFlame recebeu o codinome SPE no código de servidores originais de C & C do Flame.
Além disso, a Kaspersky Lab descobriu seis variações diferentes de miniFlame, todos datados de 2010-2011. A capacidade do miniFlame para ser usado como um plug-in tanto pelo Flame quanto pelo Gauss, claramente cria um elo de colaboração entre as equipes de desenvolvimento dos trojans. Uma vez que a ligação entre a Flame e Stuxnet/Duqu já foi revelada, pode concluir-se que todas essas ameaças avançadas tem a mesma origem, apenas recebendo incrementos que as difere, sutilmente, uma das outras e nomes diferentes.
Funcionalidades Apresentadas pelo miniFlame
O vector de infecção original miniFlame ainda está para ser determinado. Dada a comprovada relação entre miniFlame, Flame e Gauss, miniFlame pode ser instalado em máquinas já infectadas pelo Flame ou pelo Gauss. Uma vez instalado, miniFlame funciona como um backdoor e permite que os operadores de malware possam obter qualquer arquivo a partir de uma máquina infectada. Informações adicionais de roubo incluem a realização de capturas de tela de um computador infectado enquanto ele estiver executando um programa específico ou a aplicação de tal como um navegador web, programa Microsoft Office, Adobe Reader, serviço de mensagens instantâneas, ou um cliente FTP.
Importante observar que miniFlame envia os dados roubados por conexão com o servidor C & C (que pode ser única, ou "compartilhada" com servidores de C & C do Flame). Separadamente, a pedido do operador de C & C, um módulo de roubo de dados adicionais pode ser enviado para um sistema infectado, que infecta drives USB e os utiliza para armazenar dados que são coletados de máquinas infectadas sem que estejam conectadas à internet. Alexander Gostev, Chief Security Expert da Kaspersky Lab, comentou que o "miniFlame é uma ferramenta de ataque de alta precisão. O mais provável é que seja uma cyberweapon utilizada no que pode ser definido como a segunda onda de um ciberataque. Primeiro, Flame ou Gauss são utilizados para infectar vítimas com um número possível de coletar grandes quantidades de informação.
Depois que os dados são coletados e analisados, uma vítima potencialmente interessante é definida e identificada, e miniFlame está instalado, a fim de realizar mais em profundidade, atividades de vigilância e ciber-espionagem. A descoberta de miniFlame também nos dá evidências adicionais da cooperação entre os criadores dos programas maliciosos mais notáveis dos últimos tempos, usados para operações de guerra cibernética: Stuxnet, Duqu, Flame e Gauss.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2294