Kaspersky Lab e Itu scoprono Flame
Un programma nocivo molto sofisticato e superiore a tutti i precedenti è stato ampiamente utilizzato come arma informatica per compiere attacchi in diversi Paesi.
La complessità e le funzionalità di un nuovo programma nocivo sono state scoperte dagli esperti di Kaspersky Lab durante un’indagine commissionata dall’International telecommunication union (Itu).
Il programma nocivo, Worm.Win32.Flame, è stato progettato per lo spionaggio informatico ed è in grado di sottrarre informazioni importanti, tra cui i contenuti presenti sul display del computer, ma anche informazioni sui sistemi target, file archiviati, contatti e conversazioni audio.
Itu e Kaspersky Lab hanno iniziato questa ricerca dopo una serie di incidenti avvenuti a causa di un altro, ancora sconosciuto, programma nocivo, denominato Wiper, che ha cancellato i dati su un elevato numero di computer in Asia Occidentale.
Questo particolare malware era già stato scoperto, ma durante l’analisi di questi incidenti gli esperti di Kaspersky Lab, insieme con Itu, si sono imbattuti in un nuovo tipo di malware chiamato Flame.
I primi risultati indicano che questo malware è stato nascosto per oltre due anni, dal marzo 2010. Grazie alla sua estrema complessità e per la natura degli attacchi mirati, nessun software di sicurezza è stato in grado di rilevarlo.
Anche se le caratteristiche di Flame sono molto diverse da quelle di Duqu e Stuxnet, la geografia degli attacchi, l’utilizzo di uno specifico software per le vulnerabilità e il fatto che solo i computer selezionati vengano presi di mira, indicano che anche Flame appartiene comunque alla stessa categoria delle armi informatiche più importanti.
L’obiettivo principale di Flame sembra essere lo spionaggio informatico, attraverso il furto di informazioni da macchine infette. Tali informazioni vengono quindi inviate a server di comando e controllo dislocati in diverse parti del mondo. La diversa natura delle informazioni rubate, che può includere documenti, screenshot, registrazioni audio e intercettazioni del traffico di rete, lo rende uno dei più avanzati e completi attack-toolkit mai scoperti prima d’ora.
Il vettore dell’infezione deve ancora essere identificato, ma è chiaro che Flame ha la capacità di riprodursi su una rete locale utilizzando diversi metodi, tra cui la vulnerabilità della stampante e il metodo di infezione tramite la porta Usb sfruttata da Stuxnet.
Silvia Viganò
