domingo, 19 de janeiro de 2014

Flame (malware)

Flame (também chamado de sKyWIper) é um malware descoberto em 2012, que ataca computadores que estejam rodando sistemas operacionais Microsoft Windows. O programa está sendo usado para ciberespionagem em países do Oriente Médio. Sua descoberta foi anunciada em 28 de maio de 2012 pelo Centro Iraniano Nacional de Computação, pelo Kaspersky ab e o CrySyS Lab da Universidade de Tecnologia e Economia de Budapeste. Esse último chegou a afirmar que esse era com certeza o malware mais sofisticado encontrado e, muito provavelmente, o malware mais complexo já encontrado. O Flame pode para outros sistemas através de uma conexão numa rede local (LAN) ou por dispositivos USB.
Ele pode fazer registros de áudio, imagens, atividades de digitação e tráfico de rede. Ele também é capaz de registrar conversas do Skype, além de poder transformar computadores infectados em repetidores de sinal Bluetooth que tentarão adquirir dados de outros dispositivos Bluetooth por perto. Esses dados são enviados para um dos muitos servidores de controle espalhados pelo mundo. O Flame então aguarda novas instruções desses servidores.
De acordo com estimativas feitas pelo Kaspersky em maio de 2012, o vírus tinha infectado, aproximadamente, 1.000 máquinas, com vítimas que incluíam representantes de organizações governamentais, instituições educacionais e outros indivíduos. Estima-se que 65% das infecções aconteceram no Irã, Israel, Sudão, Síria, Líbano, Arábia Saudita e Egito, com a maior parte dos alvos sendo iranianos. Registros do Flame foram também encontrados na Europa e na América do Norte. O malware também é capaz de receber um comando para limpar todos os seus traços do computador. As infecções iniciais do Flame pararam de funcionar quando a sua existência veio à tona, e então foi dado o comando para limpar seus traços.
Em 28 de maio de 2012, os iranianos anunciaram que tinha desenvolvido um programa de detecção do vírus, assim como ferramentas para removê-lo, dando início à distribuição dessas ferramentas para organizações selecionadas. A Symantec reportou que em 8 de junho, alguns computadores que funcionavam como servidores do Flame receberam comandos de "suicídio", limpando totalmente os seus conteúdos.
Em 19 de junho de 2012, o jornal Washington Post publicou um artigo afirmando que o Flame foi desenvolvido em conjunto pela Agência de Segurança Nacional dos EUA, CIA e militares de Israel pelo menos cinco anos antes. O projeto foi considerado parte de um ação secreta de codinome Jogos Olímpicos, que se destinava a recolher informações, em preparação para uma campanha de cibersabotagem que visa conter os esforços nucleares iranianos. De acordo com a Kaspersky, a geografia das metas e também a complexidade da ameaça não deixa nenhuma dúvida sobre ele ser um produto diretamente patrocinado por grandes corporações, ou até mesmo países. Os Estados Unidos negaram participação na criação do malware, assim como Israel, apesar dos jornalistas e da opinião pública acreditar que de fato esses dois países participaram da criação do Flame.
Tecnicamente, o malware é considerado grande (tem cerca de 20 Mb), e foi desenvolvido parcialmente em linguagem interpretada Lua com código C++ compilado, e permite que outros módulos sejam carregados depois da infecção inicial. O malware usa cinco formas diferentes de encriptação e uma base de dados SQLite para armazenar informações. O método usado para infectar o código em vários processos é silencioso, de forma que os arquivos do malware não aparecem na lista de módulos carregados e as páginas de memória são protegidas com as permissões READ, WRITE e EXECUTE que o faz inacessível para as aplicações em modo usuário.


Nenhum comentário:

Postar um comentário