To już nie robak, to prawdziwy cyberszpieg!

miniFlame, znany również jako “SPE”, został wykryty przez ekspertów z Kaspersky Lab w lipcu 2012 r. i pierwotnie sklasyfikowano go jako jeden z modułów cyberbroni Flame. Jednak, we wrześniu 2012 r. zespół badawczy złożony ze specjalistów z Kaspersky Lab przeprowadził dogłębną analizę serwerów centrum kontroli Flame’a, której wynikiem było odkrycie, że moduł miniFlame był współpracującym narzędziem, które można wykorzystać jako niezależny szkodliwy program, a także jako wtyczkę Flame’a lub Gaussa.
Coraz większym zagrożeniem dla bezpieczeństwa informatycznego firm jest wykorzystanie przez pracowników osobistych smartfonów, tabletów czy laptopów do celów służbowych
Coraz większym zagrożeniem dla bezpieczeństwa informatycznego firm jest wykorzystanie przez pracowników osobistych smartfonów, tabletów czy laptopów do celów służbowych

“miniFlame” to nowy szkodliwy program zaprojektowany do przeprowadzania ściśle ukierunkowanych operacji cyberszpiegowskich

Analiza miniFlame’a wykazała istnienie kilku wersji szkodnika, utworzonych pomiędzy rokiem 2010 i 2011, z kilkoma wariantami istniejącymi nadal na wolności. Badanie ujawniło także nowe dowody ścisłej współpracy pomiędzy twórcami Flame’a i Gaussa, ponieważ oba te szkodniki podczas wykonywania swoich cyberprzestępczych działań używały miniFlame’a jako własnej “wtyczki”.

Główne ustalenia:

  • miniFlame, znany również jako SPE, oparty jest na tej samej platformie co Flame. Może funkcjonować jako niezależne narzędzie cyberszpiegowskie lub jako komponent zaszyty wewnątrz Flame’a i Gaussa.
  • Narzędzie cyberszpiegowskie miniFlame działa jako backdoor przeznaczony do kradzieży danych i pozyskiwania bezpośredniego dostępu do zainfekowanych systemów.
  • Prace nad miniFlamem prawdopodobnie rozpoczęły się już w roku 2007 i trwały do końca 2011 r. Uważa się, że zostało stworzonych wiele wariantów szkodnika. Na chwilę obecną eksperci z Kaspersky Lab zidentyfikowali sześć odmian miniFlame’a, obejmujących dwie główne generacje: 4.x oraz 5.x.
  • W odróżnieniu od Flame’a i Gaussa, w przypadku których liczba infekcji była bardzo duża, ilość infekcji spowodowanych przez miniFlame’a jest stosunkowo niewielka. Zgodnie z danymi Kaspersky Lab, liczba infekcji najnowszym wariantem szkodnika waha się pomiędzy 10 a 20 maszyn. Całkowita liczba infekcji na świecie szacowana jest na 50 – 60 komputerów.
  • Liczba infekcji, w połączeniu z funkcjami kradzieży informacji i elastycznością, jaką dysponuje miniFlame, wskazuje na fakt, że narzędzie było używane do ściśle ukierunkowanych operacji cyberszpiegowskich, i stosowane najprawdopodobniej wewnątrz maszyn, które były już wcześniej zainfekowane przez Flame’a lub Gaussa.

Wykrycie

Wykrycie miniFlame’a zbiegło się w czasie ze szczegółową analizą Flame’a i Gaussa. W lipcu 2012 r. eksperci z Kaspersky Lab zidentyfikowali nowy moduł Gaussa o nazwie kodowej “John” i znaleźli odwołania do tego samego modułu w plikach konfiguracyjnych Flame’a. Kolejna analiza serwerów centrum kontroli Flame’a, przeprowadzona we wrześniu 2012 r, pomogła ujawnić fakt, że odkryty moduł jest w istocie osobnym szkodliwym programem, jednak może zostać wykorzystany przez Gaussa i Flame’a jako “wtyczka”. W kodzie oryginalnych serwerów centrum kontroli Flame’a, miniFlame posiadał nazwę kodową “SPE”.

Eksperci z Kaspersky Lab wykryli sześć różnych wariantów szkodnika miniFlame – wszystkie datowane na okres 2010/2011 r. Jednocześnie analiza miniFlame’a wskazuje na jeszcze wcześniejszy termin zapoczątkowania rozwoju tego szkodliwego oprogramowania – nie później niż w roku 2007. Możliwość użycia miniFlame’a jako wtyczki Flame’a lub Gaussa wyraźnie wskazuje na współpracę pomiędzy grupami opracowującymi i rozwijającymi projekty Gauss oraz Flame. Ponieważ związek pomiędzy Flamem i Stuxnetem / Duqu został już ujawniony, można stwierdzić, że wszystkie te zaawansowane zagrożenia pochodzą z tej samej “cybernetycznej zbrojowni”.

Funkcjonalność

Oryginalny wektor infekcji miniFlame’a nie jest jeszcze określony. Zakładając potwierdzony związek pomiędzy miniFlamem, Flamem i Gaussem, miniFlame mógł być instalowany na komputerach zainfekowanych przez Flame’a lub Gaussa. Po zainstalowaniu miniFlame funkcjonuje jako backdoor i umożliwia napastnikom wyciągnięcie z zainfekowanej maszyny dowolnych plików. Dodatkowe funkcje kradzieży danych zawierają możliwość wykonywania zrzutów ekranu zainfekowanej maszyny podczas pracy z określonymi programami lub aplikacjami, takimi jak: przeglądarki internetowe, aplikacje pakietu Microsoft Office, Adobe Reader, usługa komunikatora internetowego lub klienta FTP. miniFlame przesyła skradzione dane łącząc się ze swoim serwerem kontroli (który może być niezależny lub “współdzielony” z Flamem). Na osobne żądanie operatora do zainfekowanego systemu może zostać dosłany dodatkowy moduł wyspecjalizowany w kradzieży danych, infekujący napędy USB i wykorzystujący je do przechowywania danych, które są pobierane z zainfekowanych komputerów niedysponujących połączeniem internetowym.

Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab, całą sprawę skomentował następująco:

“miniFlame to wysoce precyzyjne narzędzie ataku. Najprawdopodobniej jest to ukierunkowana cyberbroń, wykorzystywana w tym, co możemy określać mianem drugiej fali cyberataku. Najpierw Flame lub Gauss stosowane są do zakażenia tak wielu ofiar, jak to możliwe w celu gromadzenia dużych ilości informacji. Po zebraniu i przejrzeniu danych określana i identyfikowana jest potencjalnie interesująca ofiara, a miniFlame jest instalowany na jej komputerze w celu przeprowadzenia bardziej szczegółowego rekonesansu i cyberszpiegostwa. Wykrycie miniFlame’a dodatkowo utwierdza nas w przekonaniu o kooperacji, jaka istniała (i prawdopodobnie nadal istnieje) pomiędzy twórcami najbardziej znanych szkodliwych programów, wykorzystywanych do cybernetycznych operacji bojowych: Stuxneta, Duqu, Flame’a i Gaussa”.

Firma Kaspersky Lab dziękuje grupie CERT-Bund/BSI za nieocenioną pomoc udzieloną podczas prowadzenia tego dochodzenia.

Dodatkowe informacje na temat szkodnika miniFlame można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab Polska: http://www.viruslist.pl/weblog.html?weblogid=833.