Cada día se dan a conocer nuevos descubrimientos relacionados con el malware que está haciendo de las suyas y desconcertando a los expertos: Flame. He aquí una compilación de los más recientes hallazgos…
1. Los desarrolladores de Stuxnet y Flame están conectados
El descubrimiento del malware Flame en mayo de 2012, tras la investigación llevada a cabo entre la Unión Internacional de Comunicaciones (ITU) y Kaspersky Lab, hizo pública la ciberarma más compleja creada hasta la fecha. A pesar de las similitudes, no existían evidencias que mostraran que Flame hubiera sido desarrollado por el mismo equipo que Stuxnet y Duqu. El enfoque para el desarrollo de Flame y Duqu/Stuxnet fue distinto, por lo que se llegó a la conclusión de que estos proyectos fueron creados por equipos separados. Sin embargo, una profunda investigación llevada a cabo por expertos de Kaspersky Lab, revela que estos equipos cooperaron al menos una vez durante las primeras etapas de desarrollo.
Kaspersky Lab ha descubierto que un módulo de la primera versión de Stuxnet de comienzos del año 2009, conocido como "Recurso 207", era en realidad un plugin de Flame. Cuando el gusano Stuxnet fue creado (2009), la plataforma de Flame ya existía y se confirma que el código fuente de al menos un módulo de Flame fue utilizado en Stuxnet. Este módulo se utilizaba para propagar el ataque a través de dispositivos USB. El código del mecanismo de infección del USB es idéntico en Flame y Stuxnet.
Posteriormente, el módulo plugin de Flame fue retirado de Stuxnet en 2010 y sustituido por varios módulos diferentes que utilizaban otras nuevas vulnerabilidades. A partir de 2010, los dos equipos de desarrollo trabajaron de forma independiente, y parece que la cooperación sólo se producía para el intercambio del know-how sobre las nuevas vulnerabilidades "zero-day".
2. Flame podría utilizar Bluetooth
Symantec ha publicado un nuevo blog sobre el componente Bluetooth identificado en Flame y el propósito para el cual podría servir esta funcionalidad. Potencialmente es el primer software malicioso basado en Windows que podría utilizar Bluetooth. La razón que llevó a los atacantes a incluir esta funcionalidad en el código malicioso sigue siendo un misterio, pero tres teorías han surgido como resultado de un análisis técnico realizado por Symantec:
a. Para mapear los círculos sociales y profesionales de los usuarios infectados mediante la clasificación de otros dispositivos habilitados para Bluetooth que pudieran encontrarse.
b. Con el fin de identificar las ubicaciones físicas de los usuarios infectados para determinar su proximidad a los objetivos de alta prioridad, ya sea que se trate de otras personas y/o sistemas informáticos.
3. Flame es más peligroso en las versiones más antiguas de Windows
Microsoft ha asegurado que el malware Flame es más peligroso en los equipos que tienen Windows con versiones anteriores a Vista. La compañía ha explicado que en dichos equipos el virus puede utilizar los certificados falsos sin ningún requerimiento extra, mientras que en Vista y versiones posteriores es necesario un ataque por colisión de hash MD5.
Flame ha acaparado la atención de las principales compañías de seguridad y de organizaciones y países de todo el mundo. Este malware, considerado como el más avanzado de los identificados hasta el momento, utiliza certificados digitales falsos para infectar los equipos sin levantar sospechas, pudiendo registrar información almacenada e incluso grabar conversaciones.
Parece que Flame es más peligroso en las versiones más antiguas de Windows que en las más modernas. En concreto, el virus encuentra más facilidades de acceso para las versiones anteriores a Windows Vista que para las posteriores.
Microsoft ha explicado que en versiones como Windows XP, Flame puede acceder a los equipos solo utilizando el certificado falso. Aquellos ordenadores que no hayan actualizado el último parche de Microsoft estarían comprometidos. Por el contrario, los ordenadores con Windows Vista o Windows 7 cuentan con un sistema más robusto, que hace que Flame no lo tenga tan fácil.
En las últimas versiones de Windows, Flame debe acompañar el uso de los certificados falsos con un ataque por colisión de hash MD5, que permita al virus penetrar en los sistemas. De esta forma, se confirman como más seguros las versiones Windows posterior a Vista. Aunque también pueden ser infectadas por Flame, el proceso es más complejo.
Esta explicación de Microsoft sirve para entender mejor a Flame y para reflexionar sobre la necesidad de mantener siempre el software actualizado en la medida de lo posible. Se trata de una recomendación largamente extendida por las compañías de software que cobra mayor sentido en casos como este.
– CSO
4. Algunos detalles adicionales