Flame , [a] también conocido como Flamer , sKyWIper , [b] y Skywiper , [2] es un malware informático modular descubierto en 2012 [3] [4] que ataca a las computadoras que ejecutan el sistema operativo Microsoft Windows . [5] El programa se está utilizando para el ciberespionaje selectivo en países de Oriente Medio . [1] [5] [6]
Su descubrimiento fue anunciado el 28 de mayo de 2012 por el Centro MAHER del Equipo Nacional de Respuesta a Emergencias Informáticas de Irán (CERT), [5] Kaspersky Lab [6] y CrySyS Lab de la Universidad de Tecnología y Economía de Budapest . [1] El último de estos declaró en su informe que Flame "es sin duda el malware más sofisticado que encontramos durante nuestra práctica; posiblemente, es el malware más complejo jamás encontrado". [1] Flame se puede propagar a otros sistemas a través de una red local (LAN). Puede grabar audio, capturas de pantalla , actividad del teclado y tráfico de red . [6] El programa también graba conversaciones de Skype y puede convertir computadoras infectadas en balizas Bluetooth que intentan descargar información de contacto de dispositivos cercanos habilitados para Bluetooth. [7] Estos datos, junto con los documentos almacenados localmente, se envían a uno de los varios servidores de comando y control que se encuentran dispersos por todo el mundo. A continuación, el programa espera más instrucciones de estos servidores. [6]
Según estimaciones de Kaspersky en mayo de 2012, Flame había infectado inicialmente aproximadamente 1.000 máquinas, [7] con víctimas que incluían organizaciones gubernamentales, instituciones educativas y particulares. [6] En ese momento, el 65% de las infecciones ocurrieron en Irán, Israel, Palestina, Sudán, Siria, Líbano, Arabia Saudita y Egipto, [3] [6] con una "gran mayoría de objetivos" dentro de Irán. [8] También se ha informado de llamas en Europa y América del Norte. [9] Flame admite un comando "kill" que borra todos los rastros del malware de la computadora. Las infecciones iniciales de Flame dejaron de funcionar después de su exposición pública y se envió el comando "matar". [10]
Flame está vinculado al Equation Group por Kaspersky Lab. Sin embargo, Costin Raiu, director del equipo de análisis e investigación global de Kaspersky Lab, cree que el grupo solo coopera con los creadores de Flame y Stuxnet desde una posición de superioridad: "Equation Group son definitivamente los maestros, y están dando a los demás, tal vez , pan rallado. De vez en cuando les están dando algunas golosinas para integrar en Stuxnet y Flame ". [11]
En 2019, los investigadores Juan Andres Guerrero-Saade y Silas Cutler anunciaron su descubrimiento del resurgimiento de Flame. [12] [13] Los atacantes utilizaron 'timestomping' para hacer que las nuevas muestras parezcan creadas antes del comando 'suicidio'. Sin embargo, un error de compilación incluyó la fecha de compilación real (alrededor de 2014). La nueva versión (apodada 'Flame 2.0' por los investigadores) incluye nuevos mecanismos de cifrado y ofuscación para ocultar su funcionalidad. [14]
Historia
Flame (también conocido como Da Flame) fue identificado en mayo de 2012 por el Centro MAHER del CERT Nacional Iraní, Kaspersky Lab y CrySyS Lab (Laboratorio de Criptografía y Seguridad del Sistema) de la Universidad de Tecnología y Economía de Budapest cuando Kaspersky Lab fue solicitado por Naciones Unidas Internacional Unión de Telecomunicaciones para investigar informes de un virus que afecta a las computadoras del Ministerio de Petróleo de Irán . [7] Mientras Kaspersky Lab investigaba, descubrieron un hash MD5 y un nombre de archivo que solo aparecían en las máquinas de los clientes de países del Medio Oriente. Después de descubrir más piezas, los investigadores llamaron al programa "Flame" por uno de los módulos principales dentro del kit de herramientas [FROG.DefaultAttacks.A-InstallFlame] . [7]
Según Kaspersky, Flame había estado operando en estado salvaje desde al menos febrero de 2010. [6] CrySyS Lab informó que el nombre de archivo del componente principal se observó ya en diciembre de 2007. [1] Sin embargo, su fecha de creación no pudo ser determinado directamente, ya que las fechas de creación de los módulos del malware se establecen falsamente en fechas tan tempranas como 1994. [7]
Los expertos en informática lo consideran la causa de un ataque en abril de 2012 que provocó que los funcionarios iraníes desconectaran sus terminales petroleras de Internet. [15] En ese momento, la Agencia de Noticias para Estudiantes Iraníes se refirió al malware que causó el ataque como "Wiper", un nombre que le dio el creador del malware. [16] Sin embargo, Kaspersky Lab cree que Flame puede ser "una infección completamente separada" del malware Wiper. [7] Debido al tamaño y la complejidad del programa, descrito como "veinte veces" más complicado que Stuxnet , el laboratorio indicó que un análisis completo podría requerir hasta diez años. [7]
El 28 de mayo, el CERT de Irán anunció que había desarrollado un programa de detección y una herramienta de eliminación de Flame, y que los había estado distribuyendo a "organizaciones seleccionadas" durante varias semanas. [7] Después de la exposición de Flame en los medios de comunicación, Symantec informó el 8 de junio que algunas computadoras de comando y control (C&C) de Flame habían enviado un comando "suicida" a las PC infectadas para eliminar todo rastro de Flame. [10]
Según estimaciones de Kaspersky en mayo de 2012, inicialmente Flame había infectado aproximadamente 1.000 máquinas, [7] con víctimas que incluían organizaciones gubernamentales, instituciones educativas y particulares. [6] En ese momento, los países más afectados eran Irán, Israel, los Territorios Palestinos, Sudán, Siria, Líbano, Arabia Saudita y Egipto. [3] [6] Una muestra del malware Flame está disponible en GitHub.
Operación
Nombre | Descripción |
---|---|
Fuego | Módulos que realizan funciones de ataque |
Aumentar | Módulos de recopilación de información |
Matraz | Un tipo de módulo de ataque |
Palanqueta | Un tipo de módulo de ataque |
Mascar | Módulos de instalación y propagación |
Bocadillo | Módulos de propagación local |
Observador | Módulos de escaneo |
Transporte | Módulos de replicación |
Euforia | Módulos con fugas de archivos |
Dolor de cabeza | Atacar parámetros o propiedades |
Flame es un programa inusualmente grande para malware de 20 megabytes . Está escrito en parte en el lenguaje de secuencias de comandos Lua con código C ++ compilado vinculado y permite que se carguen otros módulos de ataque después de la infección inicial. [6] [17] El malware utiliza cinco métodos de cifrado diferentes y una base de datos SQLite para almacenar información estructurada. [1] El método utilizado para código inyectar en diversos procesos es sigiloso, porque los módulos de software malicioso no aparecen en una lista de los módulos cargados en un proceso y el malware de memoria páginas están protegidos con READ, WRITE y ejecutar permisos que los hacen inaccesibles por aplicaciones de modo de usuario. [1] El código interno tiene pocas similitudes con otro malware, pero explota dos de las mismas vulnerabilidades de seguridad utilizadas anteriormente por Stuxnet para infectar sistemas. [c] [1] El malware determina qué software antivirus está instalado, luego personaliza su propio comportamiento (por ejemplo, cambiando las extensiones de nombre de archivo que usa) para reducir la probabilidad de detección por parte de ese software. [1] Los indicadores adicionales de compromiso incluyen mutex y actividad de registro , como la instalación de un controlador de audio falso que el malware usa para mantener la persistencia en el sistema comprometido. [17]
Flame no está diseñado para desactivarse automáticamente, pero admite una función de "matar" que hace que elimine todos los rastros de sus archivos y operaciones de un sistema al recibir un módulo de sus controladores. [7]
Flame se firmó con un certificado fraudulento supuestamente de la autoridad certificadora de Microsoft Enforcement Licensing Intermediate PCA. [18] Los autores del malware identificaron un certificado del Servicio de licencias de Microsoft Terminal Server que inadvertidamente se habilitó para la firma de código y que aún usaba el algoritmo de hash MD5 débil , luego produjeron una copia falsificada del certificado que usaron para firmar algunos componentes del malware para hacer que parezca que se han originado en Microsoft. [18] Un ataque de colisión exitoso contra un certificado se demostró previamente en 2008, [19] pero Flame implementó una nueva variación del ataque de colisión de prefijo elegido. [20]
Propiedad | Valor |
---|---|
Certificado de Microsoft comprometido con el algoritmo MD5 débil y el uso no intencionado de firma de código | |
Versión | V3 |
Número de serie | 3a ab 11 de e5 2f 1b 19 d0 56 |
Algoritmo de firma | md5RSA |
Algoritmo hash de firma | md5 |
Editor | CN = Autoridad raíz de Microsoft, OU = Microsoft Corporation, OU = Copyright (c) 1997 Microsoft Corp. |
Válida desde | Jueves 10 de diciembre de 2009 11:55:35 AM |
Válido hasta | Domingo 23 de octubre de 2016 18:00:00 |
Sujeto | CN = Microsoft Enforcement Licensing Intermediate PCA, OU = Copyright (c) 1999 Microsoft Corp., O = Microsoft Corporation, L = Redmond, S = Washington, C = US |
Llave pública | 30 82 01 0a 02 82 01 01 00 fa c9 3f 35 cb b4 42 4c 19 a8 98 e2 f4 e6 ca c5 b2 ff e9 29 25 63 9a b7 eb b9 28 2b a7 58 1f 05 df d8 f8 cf 4a f1 92 47 15 c0 b5 e0 42 32 37 82 99 d6 4b 3a 5a d6 7a 25 2a 9b 13 8f 75 75 cb 9e 52 c6 65 ab 6a 0a b5 7f 7f 20 69 a4 59 04 2c b7 b5 eb 7f 2c 0d 82 a8 3b 10 d1 7f a3 4e 39 e0 28 2c 39 f3 78 d4 84 77 36 ba 68 0f e8 5d e5 52 e1 6c e2 78 d6 d7 c6 b9 dc 7b 08 44 ad 7d 72 ee 4a f4 d6 5a a8 59 63 f4 a0 ee f3 28 55 7d 2b 78 68 2e 79 b6 1d e6 af 69 8a 09 ba 39 88 b4 92 65 0d 12 17 09 ea 2a a4 b8 4a 8e 40 f3 74 de a4 74 e5 08 5a 25 cc 80 7a 76 2e ee ff 21 4e b0 65 6c 64 50 5c ad 8f c6 59 9b 07 3e 05 f8 e5 92 cb d9 56 1d 30 0f 72 f0 ac a8 5d 43 41 ff c9 fd 5e fa 81 cc 3b dc f0 fd 56 4c 21 7c 7f 5e ed 73 30 3a 3f f2 e8 93 8b d5 f3 cd 0e 27 14 49 67 94 ce b9 25 02 03 01 00 01 |
Mejorar el uso de claves | Firma de código (1.3.6.1.5.5.7.3.3) Licencias de paquetes de claves (1.3.6.1.4.1.311.10.6.1) Verificación del servidor de licencias (1.3.6.1.4.1.311.10.6.2) |
Identificador de autoridad | Emisor del certificado: CN = Autoridad raíz de Microsoft, OU = Microsoft Corporation, OU = Copyright (c) 1997 Microsoft Corp. | Número de serie del certificado = 00 c1 00 8b 3c 3c 88 11 d1 3e f6 63 ec df 40 |
Identificador de clave de asunto | 6a 97 e0 c8 9f f4 49 b4 89 24 b3 e3 d1 a8 22 86 aa d4 94 43 |
Uso de claves | Firma digital Firma de certificados Firma de CRL fuera de línea Firma de CRL (86) |
Restricciones básicas | Tipo de asunto = Restricción de longitud de ruta de CA = Ninguna |
Algoritmo de huella digital | sha1 |
Impresión del pulgar | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
Despliegue
Al igual que las armas cibernéticas Stuxnet y Duqu previamente conocidas , se emplea de manera selectiva y puede evadir el software de seguridad actual a través de la funcionalidad de rootkit . Una vez que un sistema está infectado, Flame puede propagarse a otros sistemas a través de una red local o mediante una memoria USB. Puede grabar audio, capturas de pantalla, actividad del teclado y tráfico de red . [6] El programa también graba las conversaciones de Skype y puede convertir las computadoras infectadas en balizas Bluetooth que intentan descargar información de contacto de dispositivos habilitados para Bluetooth cercanos. [7] Estos datos, junto con los documentos almacenados localmente, se envían a uno de los varios servidores de comando y control que se encuentran dispersos por todo el mundo. A continuación, el programa espera más instrucciones de estos servidores. [6]
A diferencia de Stuxnet, que fue diseñado para sabotear un proceso industrial, Flame parece haber sido escrito únicamente para espionaje . [21] No parece apuntar a una industria en particular, sino que es "un conjunto de herramientas de ataque completo diseñado para propósitos generales de ciberespionaje". [22]
Utilizando una técnica conocida como hundimiento , Kaspersky demostró que "una gran mayoría de objetivos" estaban dentro de Irán, y los atacantes buscaban en particular dibujos, archivos PDF y archivos de texto de AutoCAD . [8] Los expertos en informática dijeron que el programa parecía estar recopilando diagramas técnicos con fines de inteligencia. [8]
Se ha utilizado una red de 80 servidores en Asia, Europa y América del Norte para acceder a las máquinas infectadas de forma remota. [23]
Origen
El 19 de junio de 2012, The Washington Post publicó un artículo en el que afirmaba que Flame fue desarrollado conjuntamente por la Agencia de Seguridad Nacional de EE. UU . , La CIA y el ejército de Israel al menos cinco años antes. Se dijo que el proyecto era parte de un esfuerzo clasificado llamado Juegos Olímpicos , que tenía la intención de recopilar inteligencia en preparación para una campaña de sabotaje cibernético destinada a frenar los esfuerzos nucleares iraníes. [24]
Según el principal experto en malware de Kaspersky, "la geografía de los objetivos y también la complejidad de la amenaza no deja ninguna duda de que fue un estado-nación el que patrocinó la investigación que se llevó a cabo". [3] Kaspersky dijo inicialmente que el malware no se parece a Stuxnet, aunque puede haber sido un proyecto paralelo encargado por los mismos atacantes. [25] Después de analizar más el código, Kaspersky dijo más tarde que existe una fuerte relación entre Flame y Stuxnet; la primera versión de Stuxnet contenía código para propagarse a través de unidades USB que es casi idéntico a un módulo Flame que explota la misma vulnerabilidad de día cero . [26]
El CERT de Irán describió el cifrado del malware con "un patrón especial que solo se ve proveniente de Israel". [27] El Daily Telegraph informó que debido a los objetivos aparentes de Flame, que incluían a Irán, Siria y Cisjordania, Israel se convirtió en "el principal sospechoso de muchos comentaristas". Otros comentaristas nombraron a China y Estados Unidos como posibles perpetradores. [25] Richard Silverstein , un comentarista crítico de las políticas israelíes, afirmó que había confirmado con una "fuente israelí de alto nivel" que el malware fue creado por expertos informáticos israelíes. [25] El Jerusalem Post escribió que el viceprimer ministro de Israel, Moshe Ya'alon, parecía haber insinuado que su gobierno era responsable, [25] pero un portavoz israelí luego negó que esto hubiera estado implícito. [28] Funcionarios de seguridad israelíes no identificados sugirieron que las máquinas infectadas encontradas en Israel pueden implicar que el virus podría rastrearse hasta los Estados Unidos u otras naciones occidentales. [29] Estados Unidos ha negado oficialmente su responsabilidad. [30]
Un documento filtrado de la NSA menciona que lidiar con el descubrimiento de FLAME por parte de Irán es un evento trabajado conjuntamente por la NSA y el GCHQ . [31]
Ver también
- Guerra electrónica cibernética
- Estándares de seguridad cibernética
- Terrorismo cibernético
- Operación High Roller
Notas
- ^ "Flame" es una de las cadenas que se encuentran en el código, un nombre común para los ataques, muy probablemente por exploits [1]
- ^ El nombre "sKyWIper" se deriva de las letras "KWI" que el malware utiliza como nombre de archivo parcial [1]
- ^ MS10-061 y MS10-046
Referencias
- ^ a b c d e f g h i j k "sKyWIper: un software malicioso complejo para ataques dirigidos" (PDF) . Universidad de Tecnología y Economía de Budapest . 28 de mayo de 2012. Archivado desde el original (PDF) el 30 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
- ^ "Flamer: Amenaza altamente sofisticada y discreta apunta al Medio Oriente" . Symantec. Archivado desde el original el 30 de mayo de 2012 . Consultado el 30 de mayo de 2012 .
- ^ a b c d Lee, Dave (28 de mayo de 2012). "Llama: ciberataque masivo descubierto, dicen los investigadores" . BBC News . Archivado desde el original el 30 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
- ^ McElroy, Damien; Williams, Christopher (28 de mayo de 2012). "Llama: virus informático más complejo del mundo expuestos" . The Daily Telegraph . Archivado desde el original el 30 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
- ^ a b c "Identificación de un nuevo ciberataque dirigido" . Equipo de respuesta a emergencias informáticas de Irán. 28 de mayo de 2012. Archivado desde el original el 30 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
- ^ a b c d e f g h yo j k l Gostev, Alexander (28 de mayo de 2012). "La llama: preguntas y respuestas" . Securelist . Archivado desde el original el 30 de mayo de 2012 . Consultado el 16 de marzo de 2021 .
- ^ a b c d e f g h yo j k Zetter, Kim (28 de mayo de 2012). "Conoce a 'Flame', el malware espía masivo que se infiltra en las computadoras iraníes" . Cableado . Archivado desde el original el 30 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
- ^ a b c Lee, Dave (4 de junio de 2012). "Llama: los atacantes 'buscaron datos confidenciales de Irán ' " . BBC News . Consultado el 4 de junio de 2012 .
- ^ Murphy, Samantha (5 de junio de 2012). "Conoce a Flame, el malware informático más desagradable hasta ahora" . Mashable.com . Consultado el 8 de junio de 2012 .
- ^ a b "Los fabricantes de malware Flame envían un código 'suicida'" . BBC News . 8 de junio de 2012 . Consultado el 8 de junio de 2012 .
- ^ Ecuación: La estrella de la muerte de Malware Galaxy Archivado el 17 de febrero de 2015 en Wayback Machine , SecureList , Costin Raiu (director del equipo de análisis e investigación global de Kaspersky Lab): "Me parece que Equation Group son los que tienen los juguetes más geniales. de vez en cuando los comparten con el grupo Stuxnet y el grupo Flame, pero originalmente están disponibles solo para la gente del Grupo Equation. El Grupo Equation son definitivamente los maestros, y les están dando a los demás, tal vez, migas de pan. De vez en cuando les están dando algunos beneficios para que se integren en Stuxnet y Flame ".
- ^ Zetter, Kim. "Los investigadores descubren una nueva versión del infame Flame Malware" . www.vice.com . Consultado el 6 de agosto de 2020 .
- ^ Crónica (12 de abril de 2019). "¿Quién es GOSSIPGIRL?" . Medio . Consultado el 15 de julio de 2020 .
- ^ Guerrero-Saade, Juan Andrés; Cutler, Silas. "Flame 2.0: Resucitado de las cenizas" . Cite journal requiere
|journal=
( ayuda ) - ^ Hopkins, Nick (28 de mayo de 2012). "El gusano informático que golpeó las terminales petroleras de Irán 'es el más complejo hasta ahora ' " . The Guardian . Archivado desde el original el 30 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
- ^ Erdbrink, Thomas (23 de abril de 2012). "Frente al ciberataque, los funcionarios iraníes desconectan algunas terminales petroleras de Internet" . The New York Times . Archivado desde el original el 31 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
- ^ a b Kindlund, Darien (30 de mayo de 2012). "Flamer / sKyWIper Malware: análisis" . FireEye . Archivado desde el original el 31 de mayo de 2012 . Consultado el 31 de mayo de 2012 .
- ^ a b "Microsoft publica el aviso de seguridad 2718704" . Microsoft . 3 de junio de 2012 . Consultado el 4 de junio de 2012 .
- ^ Sotirov, Alexander; Stevens, Marc; Appelbaum, Jacob; Lenstra, Arjen; Molnar, David; Osvik, Dag Arne; de Weger, Benne (30 de diciembre de 2008). "MD5 considerado nocivo hoy" . Consultado el 4 de junio de 2011 .
- ^ Stevens, Marc (7 de junio de 2012). "Criptoanalista CWI descubre nueva variante de ataque criptográfico en Flame Spy Malware" . Centrum Wiskunde e Informatica. Archivado desde el original el 28 de febrero de 2017 . Consultado el 9 de junio de 2012 .
- ^ Cohen, Reuven (28 de mayo de 2012). "Nuevo ciberataque masivo una 'aspiradora industrial para información sensible ' " . Forbes . Archivado desde el original el 30 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
- ^ Albanesius, Chloe (28 de mayo de 2012). "Malware masivo 'Flame' que roba datos en Oriente Medio" . Revista de PC . Archivado desde el original el 30 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
- ^ "Flame virus: cinco hechos a saber" . Los tiempos de la India . Reuters. 29 de mayo de 2012. Archivado desde el original el 30 de mayo de 2012 . Consultado el 30 de mayo de 2012 .
- ^ Nakashima, Ellen (19 de junio de 2012). "Estados Unidos e Israel desarrollaron el virus informático Flame para frenar los esfuerzos nucleares iraníes, dicen los funcionarios" . The Washington Post . Consultado el 20 de junio de 2012 .
- ^ a b c d "Flame Virus: ¿Quién está detrás del software de espionaje más complicado del mundo?" . The Daily Telegraph . 29 de mayo de 2012. Archivado desde el original el 30 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
- ^ "Recurso 207: La investigación de Kaspersky Lab demuestra que los desarrolladores de Stuxnet y Flame están conectados" . Kaspersky Lab. 11 de junio de 2012.
- ^ Erdbrink, Thomas (29 de mayo de 2012). "Irán confirma ataque de virus que recopila información" . The New York Times . Archivado desde el original el 30 de mayo de 2012 . Consultado el 30 de mayo de 2012 .
- ^ Tsukayama, Hayley (31 de mayo de 2012). "Flame cyberweapon escrito usando código de jugador, dice el informe" . The Washington Post . Consultado el 31 de mayo de 2012 .
- ^ "Irán: la lucha contra el virus 'Flame' comenzó con un ataque de petróleo" . Tiempo . Associated Press. 31 de mayo de 2012. Archivado desde el original el 3 de junio de 2012 . Consultado el 31 de mayo de 2012 .
- ^ "Flame: Israel rechaza el enlace al ciberataque de malware" . BBC News . 31 de mayo de 2012 . Consultado el 3 de junio de 2012 .
- ^ "Visit Précis: Sir Iain Lobban, KCMG, CB; Director, Sede de Comunicaciones del Gobierno (GCHQ) 30 de abril de 2013 - 1 de mayo de 2013" (PDF) .