Kaspersky Lab anunció el descubrimiento de un programa malicioso muy sofisticado utilizado de forma activa como arma cibernética para atacar distintos organismos en varios países.
El malware fue descubierto por los expertos de Kaspersky Lab durante una investigación impulsada por la ITU, la agencia de las Naciones Unidas para la Información y la Comunicación Tecnológica. El programa malicioso, detectado como Worm.Win32.Flame por los productos de seguridad Kaspersky Lab, está diseñado para llevar a cabo ciberespionaje. Puede robar información valiosa, incluyendo contenidos de la pantalla de la computadora, información sobre los sistemas específicos, archivos almacenados, datos de contacto y conversaciones, incluso de audio.
La investigación independiente comenzó tras una serie de incidentes con otro, aún desconocido, programa de malware –llamado Wiper– que ha borrado los datos de computadoras en la región de Asia Occidental. Este programa malicioso está aún por descubrir, pero durante el análisis de estos incidentes los expertos de Kaspersky Lab, en coordinación con la ITU, se encontraron un nuevo tipo de malware, ahora conocido como Flame.
De acuerdo con Symantec, que clasifica a esta amenaza como W32.Flamer, este código no fue escrito por una sola persona, sino por un grupo de personas dirigido, organizado y bien financiado. El código incluye múltiples referencias al hilo ‘FLAME’, lo cual puede indicar instancias de ataques por parte de varias partes del código o el nombre del proyecto de desarrollo del malware.
Kaspersky Lab considera que a pesar de que las características de Flame no son como las de anteriores armas cibernéticas, como Duqu y Stuxnet, la geografía de los ataques, el uso de vulnerabilidades de software específicos y el hecho de que las computadoras seleccionadas estén en el punto de mira indica que Flame pertenece a la misma categoría de súper ciberarmas.
El propósito principal de Flame, de acuerdo con la empresa rusa, parece ser el ciberespionaje y el robo de información de los equipos infectados. Dicha información es enviada a una red de servidores C&C ubicados en diferentes partes del mundo. La variada naturaleza de la información robada, que puede incluir documentos, imágenes, grabaciones de audio y una intercepción del tráfico de red, lo convierte en uno de las más avanzadas y completas herramientas de ataque que se haya descubierto.
Los expertos de Kaspersky Lab expresaron que el malware consta de múltiples módulos y que su código ejecutable es 20 veces mayor que el de Stuxnet, lo que significa que el análisis de esta ciberarma requiere un gran equipo de los mejores expertos en seguridad, e ingenieros con amplia experiencia en el campo de la ciberdefensa.
Symantec, por su parte, dio a conocer que la amenaza ha operado con discreción durante al menos dos años, con la capacidad de robar documentos, realizar capturas de pantalla de los ordenadores de los usuarios, diseminarse por medio de unidades USB, deshabilitar productos de proveedores de seguridad y, en determinadas condiciones, extenderse a otros sistemas. Flame también puede tener la habilidad de apalancar múltiples vulnerabilidades conocidas y corregidas en Microsoft Windows, con el objeto de diseminarse a través de una red.
Symantec añadió que la telemetría inicial indica que los objetivos de esta amenaza están ubicados principalmente en la Cisjordania Palestina, Hungría, Irán y Líbano. Otros objetivos incluyen Rusia, Austria, Hong Kong y los Emiratos Árabes Unidos. Los sectores de la industria o asociaciones de personas que son objetivo actual de la amenaza no son claros.
Sin embargo, una prueba inicial muestra que la amenaza no está dirigida a todas las víctimas por la misma razón. Muchas parecen ser objetivo de ataque por actividades personales individuales, en lugar de por su compañía o empleo. Es interesante que además de que el objetivo consista en organizaciones particulares, muchos de los sistemas atacados parecen ser equipos de cómputo personales que se utilizan desde conexiones de internet a nivel hogar.