por Mikko, 12 de junio de 2012
Cuando se detectó hace dos semanas el código malicioso Flame, se dijo que era un “ muy avanzado supermalware” y el “más grande malware desarrollado nunca”.
Estos comentarios cayeron enseguida en el ridículo al señalar los expertos que no hay nada particularmente nuevo o interesante en Flame.
De hecho la única cosa que destaca en Flame es su gran tamaño. Pero tampoco era algo especialmente interesante para los analistas, ya que descubrieron otros ejemplos de software malicioso mucho más grande ( algunos de los archivos de software malicioso se parecen a los archivos de vídeo, pareciendo llevar películas de larga duración en su código).
Las informaciones que dicen que Flame fue creado por un Gobierno, al igual que Stuxnet y Duqu, el resultado de un Estado, es algo ridículo también.
Vamos a echar un vistazo a cerca de lo que hemos aprendido de Flame en estas dos semanas:
1.- Flame tiene un keylogger y un screengrabber ( es una aplicación que permite tomar capturas de la pantalla).
Los negacionistas están impresionados. “Esto ya lo hemos visto. Flame renquea”.
2.- Flame se ha incorporado a las bibliotecas de SSH, SSL y LUA
“ Se hincha, lentamente. Flame todavía renquea un poco”.
3.- Flame realiza búsquedas en todos los documentos de Office, archivos PDF, archivos de Autodesk y archivos de texto en las unidades locales y unidades de la red. Como habría demasiado información para robar, utiliza IFilters para extraer fragmentos de texto de los documentos. Estos se almacenan en base de datos local SqlLite y los envía a los operadores de malware. De este manera el software malicioso podría afinar en el material seleccionado para sacar algo interesante.
“Flame renquea”.
4.- Flame puede activar el micrófono del ordenador infectado para grabar conversaciones que se realicen cerca del aparato. Estas conversaciones se guardan como un archivo de audio y es enviado a los operadores de malware.
“ Flame renquea, je,je”
5.- Flame busca en el ordenador infectado y en los archivos en red imágenes tomadas con cámaras digitales. Extrae la ubicación GPS de estas imágenes y las envía a los operadores de malware.
“Sin embargo, Flame renquea”.
6.- Flame comprueba si hay teléfonos móviles vinculados a través de Bluetooth con la computadora infectada. Si es así, se conecta al teléfono ( iPhone, Android, Nokia, etc), recoge la libreta de direcciones y las envía a los operadores de software malicioso.
“ Flame todavía renquea, más o menos”
7.- La información robada puede infectar las memorias USB que se utilicen en los ordenadores infectados. En la memoria USB queda una base de datos cifrada SqlLite, que se enviará cuando pueda acceder a una conexión a Internet. De esta manera los datos pueden filtrarse incluso desde un entorno de alta seguridad sin conectividad de red.
“Agent.BTZ ya hacía algo parecido en 2008. Flame renquea”.
8.- Cuando Flame fue descubierto, los atacantes han estado ocupados en destruir todas las evidencias y han activado la limpieza de las máquinas infectadas.
“Esto no prueba nada. Renquea”.
9.- Las últimas investigaciones demuestran que Flame está vinculado a Stuxnet. Y justo una semana después de que Flame fuese descubierto, el Gobierno de Estados Unidos admitió que había desarrollado Stuxnet junto con las Fuerzas Armadas Israelíes.
“Está tratando de exagerar. Aún renquea”.
10.- Flame crea un proxy local que se utiliza para interceptar el tráfico de Microsoft Update. Se utiliza para difundir Flame a otras máquinas en una red de área local.
“Renquea. Incluso si los demás equipos recibieron una falsa actualización, no la aceptarían, ya que no estaría firmada por Microsoft”.
La falsa actualización fue firmada con un certificado que venía de Microsoft, ya que los atacantes encontraron una forma de reutilizar los certificados de licencias de Microsoft Terminal Server. Aunque esto no es suficiente para suplantar las versiones más recientes de Windows, pudieron utilizar la investigación criptográfica de última generación y eso les permitió crear una forma completamente nueva para crear polisones de hash, lo que les permite falsificar el certificado. Pero haría falta un superordenador. Y han estado haciendo esto en silencio desde 2010.
“…”
Y de repente, al igual que la discusión sobre si Flame renqueaba o no… desapareció.
Fuente: http://www.f-secure.com/weblog/archives/00002383.html