La empresa de seguridad informática rusa ha localizado en varios países ordenadores infectados por un nuevo malware diseñado para llevar a cabo tareas de ciberespionaje.
Según parece, los ingenieros de Kaspersky se toparon con Flame mientras investigaban el gusano Wiper, que estaba borrando datos en ordenadores de Asia Occidental.
El malware Worm.Win32.Flame, que ha sido bautizado como Flame, puede acceder y extraer los contenidos que se muestran en la pantalla de un ordenador, datos y conversaciones de sus usuarios, así como información sobre los sistemas comprometidos.
Los ingenieros de Kaspersky han desvelado que el potente malware, que lleva en activo desde 2010 marzo sin haber sido detectado, logró esquivar hasta ahora el cerco de los programas de seguridad gracias a su elevada dosis de complejidad.
En ese sentido, los expertos de la compañía rusa aseguran que se trata de la mayor amenaza vista hasta la fecha en internet, superior a casos recientes como los de Stuxnet o Duqu.
Además, han avisado de que los usuarios no están a salvo, ya que el malware todavía se encuentra activo y siguen recibiendo noticias de nuevos equipos afectados.
Por último, en la empresa moscovita han anunciado que van a trabajar con un extenso equipo de profesionales para poder estudiar a fondo el malware y responder a los múltiples interrogantes que tienen abiertos.
El malware es imparable. Lo dicen cada año las empresas de seguridad en sus informes anuales y trimestrales, y además cada vez es más complejo. Investigadores de varias organizaciones y compañías de seguridad han identificado y analizado una nueva amenaza de malware que ha sido utilizada fundamentalmente en ataques de ciberespionaje en Oriente Medio.
Según el Iranian Computer Emergency Response Team (MAHER), el malware, al que se ha bautizado como Flame, podría ser el responsable de los últimos incidentes de pérdida de datos en Irán. Además, también hay razones para creer que el malware está relacionado con las amenazas de ciberespionaje de Stuxnet y Duqu.
Investigadores de la empresa de seguridad Kaspersky también han analizado el malware y han descubierto que aunque es similar a Stuxnet y Duqu en cuanto a propagación geográfica y objetivos, tiene características diferentes y es más complejo que los anteriores.
Flame tiene un kit de herramientas de ataque muy grande con muchos módulos individuales capaz de ejecutar varias acciones individuales, la mayoría de las cuales están relacionadas con el robo de datos y el ciberespionaje.
Entre otras cosas, Flame puede hacer uso del micrófono del ordenador y grabar las conversaciones, tomar fotografías de aplicaciones particulares, grabar las pulsaciones del teclado, husmear en el tráfico de red y comunicarse con dispositivos Bluetooth cercanos.
Es probable que una de las primeras versiones de kit de herramientas fuera creada en 2010 y que sus funcionalidades fueran extendiéndose posteriormente gracias a su arquitectura modular.
Destacar también que Flame es mucho más grande que Duqu y Stuxnet. El tamaño combinado de todos los componentes de Flame alcanzaría los 20MB y sólo un archivo es de 6MB. Otro aspecto destacado es que algunas partes de Flame fueron escritas en LUA, un lenguaje de programación muy poco utilizado en el desarrollo de malware.
Flame se extiende a otros ordenadores copiándose a sí mismo en dispositivos USB, además de explotando una vulnerabilidad no parcheada en Microsoft Windows. Cuando infecta ordenadores protegidos por programas antivirus, Flame evita realizar algunas acciones o ejecutar código malicioso que pudiera llevar a su detección, lo que le ha permitido pasar desapercibido durante tanto tiempo.
Las mayores zonas de infección de Flame son Oriente Media y África, fundamentalmente en países como Arabia Saudí, Egipto, Irán, Israel, Líbano y Sudán. Sin embargo, Symantec también ha identificado infecciones en Austria, Emiratos Árabes, Hong-Kong, Hungría y Rusia, por lo que no se descarta que las infecciones se originaran a partir de portátiles que temporalmente han estado en el primer grupo de países.
Como ya ocurrió con Duqu y Stuxnet, no está claro quién es el responsable de Flame, aunque la complejidad y cantidad de recursos necesario para crear algo similar ha llevado a los investigadores de seguridad a creer que está desarrollado o costeado por un estado.
Kaspersky Lab anuncia el descubrimiento de un programa malicioso muy sofisticado que está siendo utilizado de forma activa como arma cibernética para atacar distintos organismos en varios países. La complejidad y la funcionalidad del programa malicioso recién descubierto superan a los de todas las amenazas cibernéticas conocidas hasta la fecha.
El malware fue descubierto por los expertos de Kaspersky Lab durante una investigación impulsada por la ITU, la agencia de las Naciones Unidas para la Información y la Comunicación Tecnológica. El programa malicioso, detectado como el Worm.Win32.Flame por los productos de seguridad Kaspersky Lab, está diseñado para llevar a cabo ciberespionaje.
Puede robar información valiosa, incluyendo contenidos de la pantalla de la computadora, información de sistemas específicos, archivos almacenados, datos de contacto y conversaciones, incluso de audio.
La investigación independiente comenzó tras una serie de incidentes con otro programa de malware, llamado Wiper, que ha borrado datos de computadoras en la región de Asia Occidental. Este programa malicioso está aún por descubrir, pero durante el análisis de estos incidentes, expertos de Kaspersky Lab, en coordinación con la ITU, se encontraron un nuevo malware, ahora conocido como Flame.
A pesar de que las características de Flame no son como las de anteriores armas cibernéticas, como Duqu y Stuxnet, la geografía de los ataques, el uso de las vulnerabilidades de software específicos y el hecho de que las computadoras seleccionadas estén en el punto de mira indica que Flame pertenece a la misma categoría de super-ciberarmas.
Eugene Kaspersky, CEO y co-fundador de Kaspersky Lab, afirma: “La amenaza de la guerra cibernética ha sido uno de los temas más graves en el área de la seguridad de la información desde hace varios años. Stuxnet y Duqu pertenecían a una sola cadena de ataques, lo que incrementó las preocupaciones relacionadas con la ciberguerra en todo el mundo. El malware Flame parece ser una nueva fase en esta guerra, y es importante entender que este tipo de armas cibernéticas se puede utilizar fácilmente en contra de cualquier país. A diferencia de la guerra convencional, los países más desarrollados son en realidad los más vulnerables en este caso”.
El propósito principal de Flame parece ser el ciberespionaje y el robo de información de los equipos infectados. Dicha información es enviada a una red de servidores C&C ubicados en diferentes partes del mundo. La variada naturaleza de la información robada, que puede incluir documentos, imágenes, grabaciones de audio y una intercepción del tráfico de red, lo convierte en uno de las más avanzadas y completas herramientas de ataque que se haya descubierto.
Alexander Gostev, director de los Expertos en Seguridad en Kaspersky Lab, nos comentó que: “Los descubrimientos preliminares de esta investigación, llevados a cabo a partir de una petición urgente de la ITU confirman que este programa malicioso está completamente dirigido. Uno de los hechos más alarmantes es que la campaña de ciberataque de Flame está actualmente en fase activa, y su operador está vigilando los sistemas infectados, reuniendo información y dirigiéndose a nuevos sistemas para conseguir sus desconocidas metas”.
Los expertos de Kaspersky Lab están trabajando en el análisis de Flame. Durante los próximos días se revelarán más detalles sobre esta nueva amenaza, según se vayan conociendo. Por el momento, lo que se sabe es que consta de múltiples módulos y que su código ejecutable es 20 veces mayor que el de Stuxnet, lo que significa que el análisis de esta ciberarma requiere de un gran equipo de los mejores expertos en seguridad, e ingenieros con amplia experiencia en el campo de la ciberdefensa.
La ITU usará la red ITU-IMPACT, formada por 142 países y varias empresas, entre ellas Kaspersky Lab, para alertar a los gobiernos y a la comunidad sobre esta ciberamenaza.
En línea
Mi inteligencia es proporcional al tiempo que invierto en internet
Todavia, Kaspersky no ha publicado el codigo del virus, ¿Pero será que nadie del foro tiene por lo menos una informacion novedosa sobre él? jejeje: Otra Noticia reciente,
"Symantec, otra empresa de seguridad en Internet, dijo en su blog que el código del bug estaba a la par con el de Stuxnet y Duqu, que lo describió como "podría decirse, las dos piezas más complejas de malware que se han analizado hasta la fecha."
También dijo que los nombres de los archivos determinados en "Flame" eran idénticos a los descritos en un incidente de hacking, en abril en el que estuvo implicado el Ministerio de Petróleo iraní.
Según la empresa, el gusano había estado operando discretamente por lo menos durante dos años y probablemente fue escrito de "una manera organizada, por un grupo de personas bien financiado que trabajan para un conjunto claro de directrices."
En línea
Mi inteligencia es proporcional al tiempo que invierto en internet
TheFlame es la nueva pieza de software descubierta y propuesta como modelo de ciberarma. Tal como ocurrió con Stuxnet y Duqu, TheFlame resulta muy interesante por su sofisticación técnica, a la vez que alimenta la imaginación de muchos sobre las posibilidades de una guerra cibernética. Veamos en qué consiste este malware y qué conclusiones se pueden sacar de su descubrimiento.
TheFlame vuelve a tener características similares a Stuxnet y Duqu. Vayamos por partes:
Fuente: Securelinst.com No se trata de un malware que se disperse a discreción. Es el controlador del troyano el que decide a dónde se dirige. Si bien Duqu fue todavía más restrictivo y se encontró en menos de 100 equipos en todo el mundo, TheFlame ha sido encontrado en muchos más, pero no llega a ser masivo. Kaspersky habla de miles. Parece estar diseñado para el espionaje, por sus características. En este punto, es necesario recordar que no es esta característica la que, de por sí, lo convierte en un malware sofisticado. Hoy en día, SpyEye o Zeus utilizan técnicas de robo de información extremadamente sofisticadas, que nada tienen que envidiar a TheFlame. Por ejemplo, TheFlame es capaz de capturar la pantalla solo cuando aparecen ciertas aplicaciones (como ventanas de mensajería instantánea), exactamente igual que los troyanos bancarios que almacenan en imágenes las pulsaciones del teclado virtual de un banco. También permite obtener información del sistema, registro de las teclas... todo eso está ya al alcance de cualquier creador de malware de poca monta. Sin embargo, lo que lo diferencia es básicamente es nivel de especialización y diversificación: puede comunicarse con bluetooth con otros dispositivos, o grabar conversaciones con el micrófono del sistema. Si bien estas técnicas son perfectamente posibles (incluso existe un plugin para SpyEye que permite grabar con la cámara), es poco común en el malware masivo actual. No interesan por no suponer un medio de lucro directo
Está relacionado de nuevo, con países de Medio Oriente, como ocurriera con Duqu y Stuxnet.
TheFlame es tremendamente modular. Si Stuxnet o Duqu pesaban menos de 500k, todos los plugins de TheFlame pesan unos 20 megas. Esto le confiere una gran ambivalencia que le permite, si bien no estar diseñado para objetivos concretos, sí poder ser "configurado" para las necesidades de cualquier objetivo. Se podría definir como un "toolkit" de ataque, puesto que no se han encontrado evidencias de víctimas específicas en su código, como ocurrió con Stuxnet.
Usa intensivamente el cifrado y el código ofuscado, además de tener partes lógicas escritas en LUA, lenguaje utilizado para videojuegos. LUA es un lenguaje de scripting. Las partes "lógicas" están escritas en LUA, por ejemplo, las órdenes concretas. Luego las ejecuciones las hacen librerías en C. Todo esto hace que Kaspersky estime que estudiarlo por completo les llevará un año. Duqu y Stuxnet también usaban técnicas de programación "inusuales" y pesaban demasiado (alrededor de 500k, cuando un SpyEye "típico" es raro que pase de los 200k) . Con respecto al peso, hay que destacar que otro tipo de malware mucho menos sofisticado, habitualmente creado en Brasil, suele pesar varios megas también.
¿Conclusiones?
Este tipo de incidentes dan pie a todo tipo de elucubraciones y fantasías. ¿Estamos ante una ciberguerra? ¿Debemos prepararnos para un apocalipsis cibernético? No lo sabemos. Por ahora, solo podemos concluir las características esenciales que han compartido las tres piezas de malware calificadas como "ciberarmas" desde 2010 e intentar definir qué las categoriza como tales. Por ejemplo, TheFlame es capaz de infectar un Windows 7 completamente parcheando. De lo que se deduce un una alta probabilidad de que contenga el exploit funcional de una vulnerabilidad desconocida hasta el momento. Al igual que Stuxnet, que contenía hasta cuatro 0-days para Windows, esto le hace muy potente. Le permite gran difusión sin estorbos: pocos sistemas se le resistirán. Esta es sin duda su mayor ventaja.
Como hemos indicado, se habla de que TheFlame ha pasado desapercibido varios años. Se está especulando mucho con respecto a cuándo apareció. La idea de que fue en diciembre de 2007 es simplemente por el nombre de un archivo (wavesup3.drv), pero esto no es definitivo. En VirusTotal la primera muestra que aparece catalogada como tal es del 15 de mayo de 2011, pero, a ciencia cierta, se están detectando (precisamente de Irán y Líbano) muestras de hasta 2010. Y aquí parece estar la otra gran clave. El hecho de que puedan espiar o campar a sus anchas no convierte a estos programas en ciberarmas, sino su capacidad de pasar desapercibidos. Ha sido detectado demasiado tarde. Esta, a nuestro entender, es una de las características que define de forma más acertada las llamadas "ciberarmas": son descubiertas mucho después de que hayan sido distribuidas. Stuxnet salió a la luz en junio de 2010, pero llevaba un año circulando. El núcleo de Duqu tenía fecha de compilación de 2010, aunque fue descubierto en septiembre de 2011. En el caso de TheFlame, se sospecha que podía haber sido creado igualmente en 2010 o incluso antes, en fechas similares a las de Stuxnet y Duqu (otro indicio por el que se cree que están relacionados). Por tanto, podíamos estar hablando de al menos dos años pasando totalmente desapercibido para las víctimas, investigadores y casas antivirus.
Ante esto, lo asombroso no es que existan este tipo de programas que permiten espiar, sino más bien, la posibilidad de que se puedan eludir durante tanto tiempo todas las medidas de seguridad conocidas. Y para conseguirlo, simplemente sea necesario huir de los lugares comunes del malware masivo.
Esto dice muy poco en favor de las medidas de seguridad que se están aplicando contra las amenazas actuales. Y podemos incluir en este saco desde el software antivirus, hasta las políticas de seguridad, pasando por los IDS o los cortafuegos, los administradores y los auditores (en el caso de que existan en los sistemas infectados…... que no han sido pocos). Todos han fallado, aun estado perfectamente capacitados para detenerlo o al menos detectarlo. Y cuando esto ocurre, es que algo se está enfocando de manera equivocada. Si bien ya tenemos problemas para mantener a raya el malware masivo, el que se sale un poco del cuadro preestablecido tiene todas las posibilidades de eludirlos con éxito y, por tanto, convertirse en "ciberarma". En general, quizás el problema es que seguimos todavía bajo el yugo de la "lista negra/lista blanca": bloqueamos lo que creemos que puede ser dañino o dejamos pasar lo que tenemos anotado que es benigno, y aplicamos indiscriminadamente este concepto para protegernos de todo a cualquier nivel... y este modelo, por sí solo, se está demostrando ineficaz.
Pero todavia Kaspersky no ha detallado nada sobre su codigo, ni lo hará. Pero de estas dos fuentes, que originaron todas las noticias y articulos posteriores, se puede sacar algunas conclusiones.
1) Flame es un backdoor y al mismo tiempo un gusano que puede replicarse en una red local ó un pendrive.
2) Utiliza la vulnerabilidad MS 10-033 para sus ataques (Todavia no esta realmente confirmado esto).
3) Flame consiste de 20 modulos que hacen desde captura de pantalla, grabar audio, etc,. Bien como se detalló en el post y en tu respuesta. Flame es un enorme paquete de módulos que comprenden casi 20 MB, cuando esta operativo. Es grande, pues, Flame contiene diferentes librerias como para la comprension (zlib, libbzz, PPMD) y la manipulación de bases de datos (squilite3), junto con una maquina virtual de LUA.
4) LUA es un lenguaje de scripts escrita a partir de C que utiliza la biblioteca de C++. LUA se carga utilizando varios DLL del propios Sistema Operativo, es como si un OS "fantasma" arrancase simultaneamente con el SO original.
5) Las caracteristicas aisladas de FLAME no es gran cosa, ya que no tiene nada novedoso que otros virus no lo hagan, pero lo novedoso es la juncion de todos los ataques y xploits en un solo virus, principalmnente la caracteristica de controlar dispositivos bluetooth. Esto hace de FLAME el malware más conocido hasta hoy, segun Kaspersky.
6) Hay varios servidores de FLAME en todo el Mundo, servidores que monitorean cada tecla presionada, cada mensaje de messenger o el chat de facebook, correos electronicos, incluso grabando conversaciones de las oficinas de las organizaciones del oriente medio. Y ahi esta la pista, kaspersky dice que es imposible que una sola persona ó un grupo de hackers tenga hecho tamaña obra de ingenieria informatica, esto es obra de un Estado-nación. Y como los "blancos" son organizaciones del oriente medio, es muy facil deducir que pais esta por de tras de todo esto: Estados Unidos.
Hago mía la pregunta del texto anterior: ¿Ha empezado la cyberguerra?
En línea
Mi inteligencia es proporcional al tiempo que invierto en internet
Conclusion de KASPERSKY en la ultima hora, FLAME es una ARMA CIBERNETICA utilizada en contra determinados paises. Esto de arma cybernetica es realemnte asustador.
"Una empresa rusa descubre un nuevo y poderoso virus informático usado como arma
(AFP) – hace 7 horas
MOSCÚ — La empresa rusa Kaspersky, que desarrolla programas de protección para ordenadores, anunció este martes haber identificado un nuevo virus informático de potencial destructor sin precedentes, utilizado como un arma cibernética contra varios países.
La firma reveló haber identificado el nuevo virus, denominado Flame, durante una investigación iniciada por la Unión Internacional de Telecomunicaciones (UIT). Este virus "es actualmente utilizado como un arma cibernética contra una serie de países", informó Kaspersky Lab en un comunicado.
"La complejidad y la funcionalidad del programa recientemente detectado supera las de todas las otras amenazas conocidas hasta ahora", destacó la firma. De acuerdo con el laboratorio ruso, Flame es "veinte veces más importante que Stuxnet", un virus descubierto en 2010 y que tenía como objetivo atacar el programa nuclear iraní.
Kaspersky aseguró que Flame "puede robar informaciones importantes y no solo las que estén contenidas en computadoras, sino también documentos archivados, contactos y hasta grabaciones de audio de conversaciones".
La firma no identificó a los países contra los cuales era utilizado este virus, pero añadió que el descubrimiento ocurrió como parte de investigaciones sobre incidentes con otro virus, aún desconocido, que borra informaciones en computadoras en la región del "oeste de Asia". La prensa europea sugiere que Flame fue utilizado para atacar el sector petrolero de Irán, en especial el Ministerio de Petróleo y el principal terminal de ese país.
"Los descubrimientos preliminares indican que este programa está circulando desde hace más de dos años, desde marzo de 2010", añadió el informe de Kaspersky Lab. Por su parte, el centro iraní Maher, de coordinación para la lucha contra ataques informáticos, anunció haber desarrollado un programa capaz de identificar a Flame y destruirlo.
De acuerdo con esta institución, los programadores iraníes "tuvieron éxito en la identificación del virus Flame, y en la preparación de un programa capaz de eliminarlo". Ese programa de protección "está a disposición de los órganos del gobierno que lo deseen", informó la entidad, sin mencionar los eventuales daños provocados por Flame en Irán.
La agencia de prensa iraní Fars informó que Flame "es responsable del robo de información a gran escala en las últimas semanas". Poco después del anuncio de Kaspersky, el ministro de Asuntos Estratégicos israelí, Moshé Yaalon, justificó este martes en Jerusalén la utilización de virus informáticos como Flame para contener lo que considera la amenaza nuclear iraní.
"Está justificado, por quien considere la amenaza iraní como una amenaza significativa, tomar diferentes medidas, incluida esta, para detenerla", dijo Yaalon, alimentando así las especulaciones sobre el papel de Israel en el desarrollo y distribución de ese virus informático. "Israel posee lo más avanzado de las nuevas tecnología y estas herramientas nos ofrecen todo tipo de posibilidades", dijo Yaalon a la radio militar".
El descubrimiento de un nuevo y complejo virus informático abre una nueva etapa en la ciberguerra. Se trata de Flame, considerado la mayor ciberarma de la historia del espionaje. Sus descubridores, de la compañía rusa fabricante de antivirus Kaspersky, aseguran que llevaba operando en la sombra al menos dos años.
“Creemos que se trata de uno de los raros ejemplos de ciberarma e ilustra el hecho de que hay algunas operaciones de guerra cibernética que se desarrollan en secreto. Una de las características clave de la ciberguerra es que es totalmente secreta”, ha dicho Vitaly Kamluk, de Kaspersky.
Irán, los territorios palestinos, Sudán y Siria son los países más afectados por el virus Flame. También lo están, en menor medida, el Líbano, Arabia Saudí y Egipto.
¿Quién está detrás de esta ciberarma de espionaje? Según Kaspersky, uno o varios estados, aunque no cita nombres. La similitud entre Flame y el virus Stuxnet hace que todas las miradas se fijen sobre Estados Unidos e Israel. Más información sobre: EE.UU., Informática, Israel
Autor
En línea
