Nowy szkodliwy program miniFlame

Przeczytaj także: Program Flame nadal aktywny

W maju 2012 r. śledztwo prowadzone przez firmę Kaspersky Lab doprowadziło do wykrycia nowego, sponsorowanego przez rząd, cyberszpiegowskiego oprogramowania zwanego „Flame”. Nasze badania zidentyfikowały również cechy odróżniające od siebie poszczególne moduły Flame'a. Rozważając te funkcje modułowe wykryliśmy, że pierwszy wariant robaka Stuxnet w 2009 r. zawierał moduł, który został stworzony w oparciu o platformę Flame. Potwierdziło to, że istniała jakaś forma współpracy między grupami, które rozwinęły projekt Flame i platformę Tilded (Stuxnet / Duqu).

Bardziej szczegółowe badania, przeprowadzone w czerwcu 2012 r., zaowocowały wykryciem kolejnego, sponsorowanego przez rząd i dotychczas nieznanego, szkodliwego oprogramowania, któremu nadaliśmy nazwę "Gauss". Gauss używał konstrukcji modułowej, przypominającej tę znaną z Flame'a, był podobnie kodowany, korzystał z podobnego do Flame'a systemu komunikacji z serwerami centrum kontroli (C&C) i posiadał kilka pomniejszych funkcjonalności przypominających funkcje Flame'a.

We współpracy z firmami Symantec, ITU-IMPACT oraz CERT-Bund/BSIopublikowaliśmy własną analizę serwerów centrum kontroli Flame'a. Analiza wykazała, że kod C&C może zrozumieć kilka protokołów komunikacyjnych i porozumiewać się z różnymi „klientami” lub innym szkodliwym oprogramowaniem:

• OldProtocol
• OldProtocolE
• SignupProtocol
• RedProtocol (protokół występuje w kodzie C&C lecz nie został w pełni zaimplementowany)

Opierając się na logice analizowanego kodu możemy potwierdzić, że szkodliwe oprogramowanie Flame zostało zidentyfikowane jako klient typu „FL”. Oczywiście oznaczało to, że istnieją jeszcze trzy, niewykryte narzędzia do cyberszpiegostwa lub cybersabotażu, stworzone przez tych samych autorów: SP, SPE i IP.

Oto SPE – tak zwany miniFlame

Szkodliwe oprogramowanie „SPE” zostało odkryte w trakcie trwającego śledztwa, prowadzonego przez Kaspersky Lab.

Po przeanalizowaniu centrum kontroli Flame'a byliśmy zaskoczeni, że nowo wykryty wariant domniemanego „FL” używa do komunikacji protokołu OldProtocolE, który był skojarzony z tajemniczym modułem „SPE”. Wreszcie zrozumieliśmy, że nie mamy do czynienia z wtyczką Flame'a, a kompletnie odrębnym i unikatowym oprogramowaniem, rozpoznawanym przez serwery C&C Flame'a jako „SPE”..

Wszystko zaczęło się na początku lipca 2012 r., gdy wykryliśmy nieduży, ale bardzo interesujący moduł Flame'a. Moduł posiadał wiele cech charakterystycznych Flame'a, co sprawiło, że założyliśmy, iż jest to jakaś wcześniejsza wersja szkodnika (wszystkie znane warianty Flame'a opatrzone są numerem wersji 2.x). W kolejnych miesiącach nie tylko studiowaliśmy związek tego złośliwego oprogramowania z Flamem, ale natknęliśmy się również na przykłady użycia tego modułu w cyberbroni Gauss (moduł występował jako składnik kontrolowany przez główny moduł Gaussa).

Szczegóły dotyczące miniFlame'a / SPE

Szkodliwe oprogramowanie „SPE”, które postanowiliśmy nazwać „miniFlame”, jest małym, w pełni funkcjonalnym modułem szpiegowskim, zaprojektowanym do kradzieży danych i uzyskiwania bezpośredniego dostępu do zainfekowanych systemów. Podczas, gdy Flame i Gauss są środkami masowych operacji szpiegowskich, miniFlame / SPE jest wysoce wyspecjalizowanym narzędziem ataku, pozwalającym na operowanie z chirurgiczną precyzją.

miniFlame faktycznie został stworzony w oparciu o platformę Flame, lecz zaimplementowano go jako niezależny moduł. Może pracować niezależnie od obecności w systemie głównych modułów Flame'a lub jako składnik pracujący pod kontrolą Flame'a.