Oggi Kaspersky Lab ha annunciato la scoperta di miniFlame, un programma nocivo piccolo e molto flessibile, progettato per sottrarre i dati e controllare i sistemi infetti durante le operazioni di spionaggio informatico mirate
miniFlame, conosciuto anche con il nome di SPE, è stato rilevato dagli esperti di Kaspersky Lab nel luglio 2012 e inizialmente era stato identificato come un modulo di Flame. Tuttavia, a settembre 2012, il team di ricercatori di Kaspersky Lab ha condotto un’approfondita analisi sui server Comand & Control (C&C) di Flame e da questa indagine è emerso che il modulo miniFlame era in realtà uno strumento interoperabile, che poteva essere utilizzato come un programma nocivo indipendente o come plug-in per i malware Flame e Gauss.
L’analisi di miniFlame ha mostrato che erano presenti diverse versioni realizzate tra il 2010 e il 2011, con alcune varianti in circolazione ancora attive. Dall’indagine è emersa anche la collaborazione tra i creatori di Flame e Gauss, dal momento che entrambi i malware possono utilizzare miniFlame come plug-in nelle proprie operazioni.
Risultati principali:
– miniFlame, chiamato anche SPE, è basato sulla stessa piattaforma di Flame. Questa può agire come programma di spionaggio informatico indipendente o come componente interno di Flame e Gauss.
– Gli strumenti per le operazioni di spionaggio informatico funzionano come una backdoor, sono progettati per rubare dati e avere un accesso diretto ai sistemi infetti.
– Lo sviluppo di miniFlame potrebbe essere iniziato già nel 2007 ed è proseguito fino alla fine del 2011. Si presume siano state create molte varianti. Fino ad oggi, Kaspersky Lab ha identificato sei di queste varianti, che coprono due generazioni: 4.x e 5.x.
– A differenza di Flame o Gauss, che avevano provocato un elevato numero di infezioni, la quantità di infezioni da parte di miniFlame è più ridotta. Secondo i dati di Kaspersky Lab, il numero di infezioni è compreso tra le 10 e le 20 macchine. Il numero totale di infezioni nel mondo è stimata invece tra le 50 e le 60 macchine.
– Il numero di infezioni insieme con le funzionalità specifiche per il furto di informazioni presenti in miniFlame e il design flessibile, indica che è stato utilizzato per molti attacchi mirati di spionaggio informatico ed è stato molto probabilmente distribuito attraverso macchine già infettate in precedenza da Flame o Gauss.
Scoperta
La scoperta di miniFlame è avvenuta durante l’analisi approfondita condotta su Flame e Gauss. A luglio 2012, gli esperti di Kaspersky Lab hanno identificato un ulteriore modulo di Gauss, codificato con il nome “John” e hanno trovato riferimenti allo stesso modulo all’interno dei file di configurazione di Flame. La successiva analisi sui server di command and control di Flame, condotta a settembre 2012, ha contribuito a rivelare che il modulo appena scoperto era un programma nocivo indipendente, che poteva essere usato come un “plug-in” sia da Gauss che da Flame. miniFlame è stato chiamato con nome in codice SPE nel codice dei server C&C di Flame.
Kaspersky Lab ha scoperto sei differenti varianti di miniFlame che risalivano ad un periodo compreso tra il 2010 e il 2011. Allo stesso tempo, dall’analisi dei punti fondamentali di miniFlame, è emerso che è stato creato non prima del 2007. L’abilità di miniFlame di poter essere utilizzato come plug-in da Flame o Gauss testimonia la collaborazione fra i due team di sviluppo di questi malware. Dal momento che la connessione tra Flame e Stuxnet/Duqu è già stata rilevata, si può concludere che tutte queste minacce avanzate provengano dalla stessa fabbrica che produce armi per la “guerra informatica”.
Funzionalità
Il vettore originale di infezione di miniFlame è già stato determinato. Dato il rapporto già confermato tra miniFlame, Flame e Gauss, si può dedurre quindi che miniFlame può essere installato su macchine già infettate da questi malware. Una volta installato, miniFlame opera come una backdoor e consente agli operatori del malware di avere accesso a tutti i file presenti sulla macchina infetta.
Altre funzionalità in grado di sottrarre le informazioni includono anche la capacità di acquisire screenshot di un computer infetto mentre è in esecuzione un programma o un’applicazione specifica, come un browser Web, Microsoft Office, Adobe Reader, un servizio di instant message o un client FTP. miniFlame carica i dati rubati, collegandosi al server C&C (che può essere unico o condiviso con i C&C di Flame). Separatamente, alla richiesta dell’operatore C&C di miniFlame, un modulo addizionale che sottrae i dati può essere inviato ad un sistema infetto, che a sua volta può infettare unità USB e le utilizza per memorizzare i dati raccolti dal computer infetto senza bisogno di una connessione internet.
Alexander Gostev, Chief Security Expert, Kaspersky Lab, ha dichiarato: “miniFlame è uno strumento di attacco molto preciso. Molto probabilmente è un’arma informatica utilizzata in quella che può essere definita come la seconda ondata di attacchi mirati. Prima Flame e Gauss sono stati utilizzati per infettare il maggior numero di macchine e raccogliere grandi quantità di informazioni. Dopo che i dati sono stati raccolti e analizzati, viene identificata una vittima potenzialmente interessante e a questo punto miniFlame viene installato al fine di svolgere operazioni approfondite di spionaggio informatico. La scoperta di miniFlame è un’ulteriore dimostrazione della cooperazione fra i creatori dei più importanti programmi nocivi impiegati nelle operazioni della guerra informatica: Stuxnet, Duqu, Flame e Gauss”.
Kaspersky Lab ringrazia il CERT-Bund/BSI per il supporto offerto durante questa indagine.
Ulteriori dettagli su miniFlame si possono trovare su Securelist.com