Flame (malware)

Flame (em português: chama), também conhecido como Flamer, sKyWIper e Skywiper,[1] é um malware modular descoberto em 2012[2][3] e que ataca computadores que executam o sistema operacional Microsoft Windows. O programa vem sendo utilizado para espionagem cibernética em países do Oriente Médio.[4][5][6] A sua descoberta foi anunciada em 28 de maio de 2012 pela MAHER (Equipe de Resposta ante Emergências Informáticas do Irã) (CSIRT),[5] Kaspersky Lab[4] e CrySyS Lab. da Universidade de Tecnologia e Economia de Budapeste.[4]

Flame pode propagar-se a outros sistemas através da rede de área local (LAN) e mediante memórias USB.[6] Pode gravar áudio, capturar tela, detectar atividades de teclado e tráfego de rede. O programa também grava conversas de Skype e pode controlar o Bluetooth para tentar obter informações de outros dispositivos Bluetooth ao redor. Estes dados, juntos com outros documentos armazenados localmente, são enviados a um dos vários servidores dispersos ao redor do mundo. Ao terminar, o programa se mantem em espera até que receba novas instruções destes servidores.

De acordo com estimativas de Kaspersky, o Flame infectou aproximadamente 1.000 máquinas. Entre as vítimas se encontram organizações governamentais, instituições educativas e usuários privados.[6] Em maio de 2012, os países mais afetados foram o Irã, Israel, Sudão, Síria, Líbano, Arábia Saudita e Egito.[6]

História

Flame foi identificado em maio de 2012 por Kaspersky Lab, MAHER (Equipe de Resposta ante Emergências Informáticas do Irã) e pelo CrySyS Lab. da Universidade de Tecnologia e Economia de Budapeste. A União Internacional de Telecomunicações solicitou ao Kaspersky Lab que investigasse informações sobre um vírus que estava afetando os computadores do Ministério do Petróleo do Irã,[7] e durante as investigações foi encontrado um hash MD5 e um nome de arquivo que somente aparecia em computadores do Oriente Médio. Depois de encontrar mais evidências, os investigadores nomearam o programa como "Flame".[7]

Segundo Kaspersky, Flame está operando no mínimo desde fevereiro de 2010.[6] CrySyS informou que o nome de arquivo do componente principal foi visto pela primera vez em dezembro de 2007.[4] No entanto, sua data de criação não pode ser determinada diretamente, visto que as datas de criação foram manipuladas para datas antes de 1994.[7]

Alguns especialistas em informática o consideram o causador do ataque que em abril de 2012 desconectou da Internet terminais das petrolíferas de Irã.[8] No momento do ataque, a agência de notícias Iranian Students se refiriu ao malware como "Wiper".[9] Kaspersky Lab acreditam que o Flame pode ser "uma infecção completamente diferente" do malware Wiper.[7] Devido ao tamanho e a complexidade do programa, descrito como vinte vezes mais complexo que o Stuxnet, Kaspersky declarou que uma análise completa pode levar cerca de dez anos.[7]

Em 28 de maio, a Equipe de Resposta ante Emergências Informáticas do Irã anunciaram que haviam desenvolvido um programa que detectava e eliminava o Flame e que haviam distribuído este a "organizações selecionadas" durante várias semanas.[7]

Especificações

O malware é considerado grande (20 MB), está escrito parcialmente em linguagem interpretada Lua com código C++ compilado e permite que outros módulos sejam carregados depois da infecção inicial.[6][10] O malware usa cinco métodos diferentes de encriptação e uma base de dados SQLite para armazenar informações.[4] O método usado para infectar o código em vários processos é silencioso, de forma que os arquivos do malware não aparecem na lista de módulos carregados e as páginas de memória são protegidas com as permissões READ, WRITE e EXECUTE que o faz inacessível para as aplicações em modo usuário.[4] O código interno tem poucas similaridades com outros malwares, mas leva vantagem de vulnerabilidades que também foram usadas previamente por Stuxnet para infectar sistemas.[4] O malware identifica softwares antivírus que estão instalados no sistema e modifica seu comportamento (por exemplo, trocando a extensão de nome de ficheiro que utiliza) para reduzir a probabilidade de ser detectado por esse software.[4] Indicadores adicionais de que um sistema está infectado são a exclusão mútua e a atividade do registro. Também a instalação de um driver de áudio falso que permite ao software iniciar-se quando o sistema é ligado.[10]

Uso

Como outras ciber-armas conhecidas, Stuxnet e Duqu, Flame é empregado em objetivos concretos e pode contornar o software de segurança por um rootkit. Flame pode propagar-se a outros sistemas pela rede de área local (LAN) e mediante memórias USB. Pode gravar áudio, capturar tela, digitações de teclado e tráfego de rede.[6] O programa também grava conversas de Skype e pode controlar o Bluetooth para tentar obter informações de dispositivos bluetooth ao redor.[7] Estes dados, junto com documentos armazenados no computador, são enviados a um do vários servidores dispersos ao redor do mundo. Ao término, o programa se mantem em modo espera até receber novas instruções desses servidores.[6]

A diferença de Stuxnet, o qual foi concebido para danificar processos industriais, é que o Flame parece estar direcionado a propósitos de espionagem.[11] Não parece dirigir-se a um setor determinado, mas é um conjunto de ferramentas projetadas para a ciber-espionagem.[12]

Flame não contem uma data predefinida para desativação, mas permite que as operadoras enviem um comando "kill", que remove todos os traços de um sistema.[7]

Especulações sobre sua origem

Segundo Eugene Kaspersky, "a localização geográfica dos alvos e a complexidade da ameaça não deixa dúvida sobre a existência de que um Estado-nação apoia o desenvolvimento deste malware."[2] Acrescenta que este malware não é como Stuxnet, mas pode ter sido um projeto paralelo.[13]

A Equipe de Resposta ante Emergências Informáticas do Irã afirma que o cifrado do malware tem "um padrão especial visto apenas a partir de Israel."[14] The Daily Telegraph informou que devido aos aparentes alvos - os quais incluem Irã, Síria e Cisjordânia - Israel se converteu no "suspeito principal dos comentaristas". Outros nomearam a China e aos Estados Unidos como possíveis autores.[13] Richard Silverstein, um crítico da políticas de Israel, declarou que havia confirmado com uma fonte israelense que o malware foi criado por especialistas de informática de Israel.[15][13] The Jerusalem Post escreveu que o vice primeiro ministro israelense Moshe Ya'alon parece haver dado a entender que seu governo foi o responsável,[13] enquanto agentes de segurança em Israel disseram que as máquinas infectadas são prova de que os Estados Unidos estão por trás do malware.[16]

Uma rede de 80 servidores ao longo da Ásia, Europa e América do Norte têm sido utilizadas para acessar estas máquinas infectados remotamente.[17]

Referências

  1. «Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East». Symantec. Consultado em 30 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  2. a b Lee, Dave (28 de maio de 2012). «Flame: Massive Cyber-Attack Discovered, Researchers Say». BBC News. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  3. McElroy, Damien; Williams, Christopher (28 de maio de 2012). «Flame: World's Most Complex Computer Virus Exposed». The Daily Telegraph. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  4. a b c d e f g h «sKyWIper: A Complex Malware for Targeted Attacks» (PDF). Budapest University of Technology and Economics . 28 de maio de 2012. Consultado em 30 de maio de 2012. Arquivado do original (PDF) em 30 de maio de 2012 
  5. a b «Identification of a New Targeted Cyber-Attack». Iran Computer Emergency Response Team. 28 de maio de 2012. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  6. a b c d e f g h Gostev, Alexander (28 de maio de 2012). «The Flame: Questions and Answers». Securelist. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  7. a b c d e f g h Zetter, Kim (28 de maio de 2012). «Meet 'Flame,' The Massive Spy Malware Infiltrating Iranian Computers». Wired. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  8. Hopkins, Nick (28 de maio de 2012). «Computer Worm That Hit Iran Oil Terminals 'Is Most Complex Yet'». The Guardian. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  9. Erdbrink, Thomas (23 de maio de 2012). «Facing Cyberattack, Iranian Officials Disconnect Some Oil Terminals From Internet». The New York Times. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  10. a b «Flamer/sKyWIper Malware Analysis». FireEye. Consultado em 30 de maio de 2012 
  11. Cohen, Reuven (28 de maio de 2012). «New Massive Cyber-Attack an 'Industrial Vacuum Cleaner for Sensitive Information'». Forbes. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  12. Albanesius, Chloe (28 de maio de 2012). «Massive 'Flame' Malware Stealing Data Across Middle East». PC Magazine. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  13. a b c d «Flame Virus: Who is Behind the World's Most Complicated Espionage Software?». The Daily Telegraph. 29 de maio de 2012. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  14. Erdbrink, Thomas (29 de maio de 2012). «Iran Confirms Attack by Virus That Collects Information». The New York Times. Consultado em 30 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  15. Silverstein, Richard (28 de maio de 2012). «Flame: Israel's New Contribution to Middle East Cyberwar». Tikun Olam. Consultado em 29 de maio de 2012. Cópia arquivada em 30 de maio de 2012 
  16. «Iran: 'Flame' Virus Fight Began with Oil Attack». Time. Associated Press. 31 de maio de 2012. Consultado em 30 de maio de 2012 
  17. «Flame virus: Five facts to know». The Times of India. Reuters. 29 de maio de 2012. Consultado em 30 de maio de 2012. Cópia arquivada em 30 de maio de 2012