El título de la entrada no es caprichoso, y es que está dando mucho que hablar la última "super-ciberarma" (como algunos la han calificado) descubierta: Flame.
Según Kaspersky, quien ha descubierto el hallazgo y lo ha bautizado con este nombre, se trata de un malware del mismo tipo que Stuxnet (2010) o Duqu (20011). El primero, recordemos, se centraba en atacar sistemas scada y propagarse (en concreto se descubrió por el ataque a una central nuclear de Irán), focalizando su acción en una región específica. El segundo se centraba más en robar información de la máquina infectada, y su focalización era global, a diferencia de Stuxnet. Ambos estaban dotados de una sofisticación y complejidad especiales, no vistas hasta entonces, lo que desató las sospechas de que ambas "herramientas" estaban financiadas por algún gobierno.
Además, los analistas de Kaspersky Lab añaden que analizar por completo a Flame les llevaría unos 10 años, ya que su complejidad supera con creces a la de su predecesores:
Según Kaspersky, quien ha descubierto el hallazgo y lo ha bautizado con este nombre, se trata de un malware del mismo tipo que Stuxnet (2010) o Duqu (20011). El primero, recordemos, se centraba en atacar sistemas scada y propagarse (en concreto se descubrió por el ataque a una central nuclear de Irán), focalizando su acción en una región específica. El segundo se centraba más en robar información de la máquina infectada, y su focalización era global, a diferencia de Stuxnet. Ambos estaban dotados de una sofisticación y complejidad especiales, no vistas hasta entonces, lo que desató las sospechas de que ambas "herramientas" estaban financiadas por algún gobierno.
Además, los analistas de Kaspersky Lab añaden que analizar por completo a Flame les llevaría unos 10 años, ya que su complejidad supera con creces a la de su predecesores:
It took us half a year to analyze Stuxnet (...) This is 20 times more complicated. It will take us 10 years to fully understand everything.Por describir un poco este malware, podemos decir que su tamaño es de nada menos que 20mb con todos sus módulos, de los cuales 900kb sería la ocupación del núcleo. Es este último el que descarga los módulos necesarios para su funcionamiento, quedando así evidenciada la existencia un backdoor que abre el troyano, y su objetivo son misiones de inteligencia y espionaje, aparentemente en la región de oriente medio.
Lo que lo hace tan sofisticado es, sobre todo, su poder de configuración para objetivos concretos, a modo de toolkit, aunque tiene otras características que llaman la atención: hace uso de bluetooth para identificar y comunicarse con otros dispositivos, algunas partes del código están escritas en LUA (lenguaje de programación muy utilizado en videojuegos), tiene capacidad para grabar conversaciones a través del micrófono del sistema, o hacer capturas de pantalla sólo cuando ciertas aplicaciones específicas están en uso (como por ejemplo aplicaciones de mensajería instantánea), por citar algunas.
Se han encontrado hasta cinco tipos diferentes de cifrado en el código, y se ha visto que hace un uso intensivo de ofuscación de código, lo cual dificulta enormemente su análisis. Además, es capaz de infectar un sistema Windows 7 totalmente parcheado, lo cual quiere decir que muy posiblemente haga uso de uno o varios exploits que aprovechen vulnerabilidades hasta el momento no publicadas (0-day).
Los medios de infección son varios, mediante phising, visita de una web, un usb o un pc infectado de la misma red.
Así mismo, vemos que Flame tiene también varios vectores de replicación, a otros usb's, otros pc's de la LAN, impresoras con la vulnerabilidad MS10-061, o tareas remotas.
Por ahora, han sido 8 los países infectados por este troyano, destacando Irán, con al menos 189 infecciones. Israel y Palestina en segundo lugar con 98 infecciones cada uno. En tercer lugar está Sudán, con 32 infecciones, seguido por Siria con 30 infecciones, Líbano con 18 y Arabia Saudi con 10. En último lugar está Egipto, con sólo 5 equipos infectados. Estas cifras son sólo referenciales, ya que pueden estar variando ahora mismo, pero sí que da una idea de la focalización del virus en Irán.
Por ahora, han sido 8 los países infectados por este troyano, destacando Irán, con al menos 189 infecciones. Israel y Palestina en segundo lugar con 98 infecciones cada uno. En tercer lugar está Sudán, con 32 infecciones, seguido por Siria con 30 infecciones, Líbano con 18 y Arabia Saudi con 10. En último lugar está Egipto, con sólo 5 equipos infectados. Estas cifras son sólo referenciales, ya que pueden estar variando ahora mismo, pero sí que da una idea de la focalización del virus en Irán.
Pero lo que realmente hace tan excepcional a este tipo de malware es que pase tanto tiempo inadvertido. Se ha descubierto rastro de la existencia de algunos de los archivos que utiliza con fecha de 2011, según las bases de datos de VirusTotal. Respecto a las muestras encontradas en Irán, en cambio, nos iríamos a 2007. Este hecho pone en jaque a las medidas de seguridad adoptadas hasta ahora, ya que aún disponiendo de la tecnología adecuada, está claro que los algoritmos que hacen uso de ella no son lo suficientemente eficientes; y esto, en última instancia, reside en la mentalidad que tengamos a la hora de diseñar las reglas de un IDS/IPS, firewall, etc (de esto tampoco se libran las empresas antivirus).
Así que, como decía el maestro Tanaka en Contacto sangriento, "ganadora la palmera".
Referencias:
No hay comentarios:
Publicar un comentario
Escribe aquí tu comentario