O Flame é apenas um dos quatro pedaços de malware desenvolvidos para espiar objectivos baseados no Médio Oriente.
Um olhar mais profundo sobre o malware Flame, ligado ao Stuxnet, revelou que pode ser apenas uma de quatro peças de malware criadas pela mesma desconhecida equipa de desenvolvimento.
O Flame foi conhecido em Maio após o Irão descobrir que o malware foi usado para infectar computadores no seu ministério do petróleo. Ele foi rapidamente ligado ao Stuxnet, que foi usado para interromper os equipamentos de processamento de urânio do Irão, e era suspeito de ter sido desenvolvido por outros países, possivelmente os EUA e Israel, devido à sua sofisticação e tipo de alvo.
A mais recente investigação é resultado de um esforço conjunto pela Symantec, Kaspersky Lab, a equipa de cibersegurança IMPACT da União Internacional de Telecomunicações (UIT), Computer Emergency Response Team for Bundesbehörden e Federal Office for Information Security (BSI), ambos da Alemanha.
O estudo descobriu que os mecanismos de comando-e-control (C&C) para o Flame podem ter sido desenvolvidos em Dezembro de 2006, tornando o malware muito mais velho do que se supunha, segundo uma análise da Kaspersky Lab. Ele estava a circular desde 2010 mas a sua data de criação tinha-se mantido desconhecida até agora.
Entre outras descobertas significativas, o sistema de C&C do Flame geria três tipos de malware que não foram analisados por investigadores e cuja finalidade é desconhecida. Outros indícios mostram que esses tipos de malware podem estar ainda em desenvolvimento ou não foram activados.
O Flame é o canivete suíço das ferramentas de espionagem: pode recolher dados inseridos em formulários, passwords, gravar som e fazer capturas de ecrãs. Ele pode ter desempenhado um papel de reconhecimento para espiar sistemas para uma posterior infecção pelo Stuxnet, o que interrompeu os sistemas de controlo industrial fabricados pela Siemens e usados pelo Irão para processar urânio.
Segundo a análise, o sistema de C&C foi projectado para se parecer mais com um sistema de gestão de conteúdos (CMS). Foram usados comandos simples como “upload”, “client”, “news”, “blog” e “ads” que imitam a interface de um CMS em vez de se parecer com a interface de outras botnets.
“Acreditamos que isto foi feito deliberadamente para enganar os administradores de sistema das empresa de hospedagem que podiam executar verificações inesperadas”, escreveu a Kaspersky.
Surpreendentemente, aqueles que modificaram o código do Flame deixaram pseudónimos embutidas no código juntamente com marcas temporais. Os investigadores identificaram quatro pessoas que modificaram o código, embora os pseudónimos tenham sido omitidos pela Kaspersky. Um dos programadores parece ser o líder da equipa, enquanto outro é especializado em criptografia avançada.
A Kaspersky disse ter recebido muitas questões sobre a quantidade de dados que o Flame pode ter obtido. Apesar de parecer que a informação roubada foi transferida para outros servidores a cada 30 minutos, os operadores do Flame – por algum motivo – não conseguiram aceder a um dos servidores utilizados para recolher os dados roubados. O Flame pode ter recolhido até 5,5 GB de informações comprimidas em apenas uma semana.
Os controladores do Flame cometeram um outro erro: esqueceram-se de apagar ficheiros de registo (“log”) que mostraram quantos computadores das vítimas estavam a enviar informações. Durante um período de uma semana entre o final de Março e início de Abril, cerca de 3.702 endereços IP únicos do Irão estiveram ligados a esse servidor, bem como 1.280 do Sudão.
“As nossas estatísticas anteriores não apresentavam um tão grande número de infecções no Sudão, de modo que esta deve ter sido uma campanha dedicada a atacar sistemas no Irão e no Sudão”, escreveu a Kaspersky.