You Are Reading

.

Compartelo:
0

El gusano espía Flame podría tardar años en desaparecer

Jesus Bourne 20 de junio de 2012
Análisis: El complejo malware Flame, que fue encontrado en semanas anteriores en numerosos sistemas del medio oriente y alrededores, tardará meses, si no es que años, en poder ser analizado.

Indagaciones previas sugieren que Flame es un conjunto de herramientas de ciberespionaje que ha infectado computadoras principalmente en Irán e Israel, aunque no de forma exclusiva. Probablemente el gusano haya estado circulando por al menos dos años (quizás mucho más) pero se tuvo noticias de él hace unas semanas, en una serie de anuncios de grupos de seguridad y compañías de soluciones antivirus.

El Equipo de Respuesta a Incidentes de Cómputo Nacional de Irán (Irán CERT) publicó una advertencia acerca de un virus que roba información, prometiendo un antídoto: hasta ahora el malware ha evadido completamente la detección de soluciones antivirus comerciales.

Investigadores iranís describieron similitudes con el malware de Stuxnet, el famoso y bien diseñado gusano que saboteó sistemas de control industriales vinculados al controversial programa nuclear de Irán.

Kaspersky Lab dijo que la Unión Internacional de Telecomunicaciones de la ONU había emitido una alerta sobre Flame y le pidió ayuda en el análisis del malware, que se creía borraba información de computadoras del Este Medio. Kaspersky anunció que este virus espía se ha estado expandiendo desde marzo de  2010.

Sin embargo, investigadores de seguridad húngaros del Laboratorio de Criptografía y Seguridad en Sistemas (CrySyS por sus siglas en inglés) teme que el gusano Flame haya estado activo desde hace cinco u ocho años.

El laboratorio con sede en Budapest ha publicado un análisis preliminar del malware al cual habían llamado sKyWIper – El laboratorio CrySyS descubrió que la complicada pieza de software malicioso que arduamente habían estado analizando por semanas era claramente una versión previa de Flame.

Desde entonces otras compañías de seguridad han estado haciendo sus observaciones y análisis previos; entre confusiones, otros investigadores han nombrado a la amenaza Viper o Flamer.

Se cree que Flame es la amenaza de malware más elaborada que se haya descubierto hasta ahora. El equipo Húngaro conluye que el malware fue desarrollado por algún gobierno o nación con una inversión monetaria muy grande, además de mucho esfuerzo y que podría estar relacionado a actividades de guerra cibernética.

Cómo se propaga Flame

El virus de 20MB compromete equipos Windows mientras de forma sigilosa se instala a sí mismo antes de robar datos y contraseñas, tomando capturas de pantallas y encendiendo el micrófono de forma inadvertida para grabar conversaciones de audio. El malware instala una puerta trasera y abre canales cifrados a servidores de comando y control (C&C) usando protocolos SSL.

Flame comparte algunas características con los anteriores gusanos Duqu y Stuxnet, pero también tiene varias diferencias.

De forma similar a Stuxnet y Duqu, el malware Flame puede ser esparcido vía memorias USB y a través de redes inseguras. Los tres infectan equipos con el sistema operativo Microsoft. Flame contiene exploits para vulnerabilidades conocidas y ya parchadas, como el bug de ejecución de código remoto de la cola de impresión y el hueco de seguridad .Ink encontrado anteriormente en Stuxnet.

Sin embargo, Flame es mucho más complejo que ambos: está elaborado a base de módulos para lanzar ataques que pueden ser cambiados dentro o fuera como se requiera para un trabajo en particular, usa varias bibliotecas opensource incluyendo libz para la compresión, el código está esparcido en muchos archivos en vez de un solo ejecutable, y aún más inusual, usa una base de datos administrada por la biblioteca SQLite.

También ejecuta un pequeño conjunto de scripts escritos en Lua (un lenguaje de programación empleado por desarrolladores de videojuegos como Rovio, creadores de Angry Birds), los cuales dirigen la operación de los módulos de ataque.

Muchos archivos de Flame se hacen pasar por componentes de Microsoft Windows, pero ninguno está firmado con una llave privada (ni siquiera robada) a diferencia de archivos firmados usados por Duqu y Stuxnet.

Duqu y Stuxnet tenían como objetivos sistemas de control industrial, mientras que Flame es por mucho, más versátil. Los análisis sugieren que mientras Stuxnet y Duqu usan los mismos bloques de construcción (una plataforma comúnmente usada por el mismo equipo de programación), Flame usa una arquitectura totalmente independiente.

“La amenaza muestra gran similitud a Stuxnet y Duqu en algunas de sus formas de operación aunque su código base e implementación son muy diferentes y mucho más complejas”, señala McAfee, planteando la hipótesis de que Flame puede ser un proyecto paralelo a Stuxnet y Duqu.

El gusano sale a la luz después de ataques a sistemas relacionados con el petróleo

En las semanas previas al día en que se hizo el anuncio sobre este nuevo malware, Irán reportó insistentes ataques cibernéticos en su sector energético, lo que supuestamente fue la continuación a los ataques de Stuxnet y Duqu.

Esto podría estar relacionado con la decisión del mes pasado de desconectar la principal terminal de exportación de petróleo en la isla Kharg en el golfo pérsico, debido a una infección.

"Evidentemente, la amenaza fue desarrollada a lo largo de varios años, posiblemente por un grupo numeroso y especializado", afirma McAfee.

Encontramos reportes públicos de compañías antispyware y archivos de registro en foros públicos que podrían indicar infecciones de variantes anteriores de Spywiper en Europa e Irán hace varios años (por ejemplo en mayo de 2010). Skywiper parece haber tenido mayor presencia que Doqu con un número de variantes similares.

Symantec coincide con sus rivales, acerca de que Flame fue creado por un grupo, concluyendo que "el código no fue desarrollado por una sola persona, sino por un grupo bien organizado y con líneas de trabajo". Contrario a Stuxnet, Flame no tiene objetivos particulares y ha sido distribuido a sistemas propiedad de civiles en varios países.

"La telemétrica inicial indica que lo principales objetivos de esta amenaza se encuentra en el West Bank de Palestina, en Hungría, Irán y Líbano. Otros blancos incluyen Rusia, Austria, Hong Kong y los Emiratos Árabes Unidos. Los sectores industriales o características de los individuos atacados aún no son claros", dice Symantec.

"De cualquier forma, la evidencia inicial indica que no todas las víctimas fueron atacadas por la misma razón. Muchas parecen haber sido infectadas debido a sus actividades personales, no por la organización en que trabajan.

Resulta interesante que además de las organizaciones particulares que resultaron afectadas, muchas de las computadoras comprometidas parecen ser propiedad de usuarios caseros en conexiones personales."

David Harley, investigador sénior en ESET concuerda con McAffe en que Stuxnet y Flame tienen más diferencias que similitudes.

"El hecho de que el virus (Flame) está dirigido a un país específico, no queda claro. Finalmente, habíamos asumido que Stuxnet fue creado originalmente para dirigirse a Irán, pero más tarde detectado en una área mayor", dijo Harley. "Respecto a la especulación de que Flame está relacionado con Stuxnet y Duqu, a mi parecer es demasiado ambiguo por el momento, sobre todo porque el código parece ser muy distinto".

"Otros dicen que el trabajo es parecido al de los programadores black hat patrocinados por el estado, posiblemente con empleados de una agencia de seguridad, pero nadie está especulando acerca de Flame. 

Muchas de estas advertencias son también para Stuxnet, pero la evidencia hasta ahora apunta hacia alguna clase de cooperación entre Israel y Estados Unidos."

A pesar de las grandes capacidades de Flame, sigue siendo un misterio quién y el porqué de su creación. Las compañías de seguridad pueden al menos ofrecer alertas sobre el malware ahora que está circulando entre los investigadores.

"Uno de los trucos que Spywipe/Flame podría tener es que le puede llevar cierto tiempo a los investigadores realizar un análisis completo, ya que su código es 20 veces más largo que Stuxnet, lo que implica que se deberá trabajar arduamente para poder analizarlo por completo", dice Graham Cluley, consultor de seguridad sénior en Sophos. "Afortunadamente, el análisis del código completo no es necesario para que pueda ser detectado."



Fuente: The Register 

0 comentarios:

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT