Análisis del nuevo Malware y ciberarma FLAME

Ya es definitivo, y como decían algunos expertos en el área y pese a algunas opiniones contrarias, podemos decir que la historia del Malware se divide aquí: el antes y el después de Flame.

Para poder crear a Flame (y como ya explique antes) tiene que existir un grupo de personas MUY capacitadas, muy bien organizadas y con apoyo de mucho dinero, aquí no estamos hablando de algunos programadores (o Hackers) en la cochera de la casa, esta gente no solo sabe lo que hace sino que además son expertos en criptografía, y parecen haber desarrollado y puesto en práctica una novedosa técnica para crear colisiones MD5.

Parte de lo que se ha aprendido de Flame estos días, es el hecho de que (y como decimos en mi pueblo), Flame se pasa por el forro los certificados de seguridad SSL, en otras palabras consigue hacer que cualquier certificado SSL parezca válido. “Microsoft examinó el certificado falso. Comprobó que las extensiones oficiales habían sido borradas”.

En Hispasec ya publicaron un análisis del “cómo” hace Flame para crear y usar certificados SSL y hacer creer que son válidos, dejando a la estructura PKI de Microsoft en ridículo:

Hace unos días Kaspersky Lab anunciaba el descubrimiento de una nueva fuente de Malware, considerada como “ciberarma” llamada Flame (Flamer/TheFlame), similar en funcionamiento y complejidad a Stuxnet y DuQu.

Esta noticia se esta haciendo eco en Internet de forma muy alarmante, sin embargo Flame no es nuevo, de acuerdo a Kaspersky tiene varios años infectando equipos. El Equipo de Respuesta de Emergencias Computacionales de Irán (CERT) ya había detectado este malware en mayo, sin embargo otras empresas aseguran que está en la red desde marzo de 2010, ya que han conseguido muestras del mencionado “bicho”. El Laboratorio de Criptografía y Seguridad en Sistemas de Budapest (CrySyS) lo ha identificado como sKyWIper, y se piensa que ha estado en funcionamiento desde hace 5 años. También han liberado un análisis referente a Flame. En AlientVault también nos ofrecen un análisis de Flame y de su posible fecha de creación.

¿Qué tiene de especial este malware?

Pues bien, hay polémica (incluso política) y confusión con respecto a Flame, su origen y su propósito específico. Ya mencionaba que tiene características similares otros bichos como Stuxnet y DuQu, pero también posee características propias que lo hacen mortífero.

Hasta ahora, se piensa que nació y se ha distribuido en el medio oriente y Asia central, y su objetivo principal es corporativo/empresarial. En relación al motivo de su desarrollo, hasta ahora se piensa que es para el espionaje y sabotaje.

Así que tenemos a este troyano/gusano (al parecer no está claro) que es capaz de ser dirigido y controlado por su (s) creador (es) hacia objetivos específicos en el Medio Oriente con el propósito de hacer trabajos de inteligencia.

Este bicho es capaz de hacer capturas de pantalla bien sea video o fotos, obtener información del sistema infectado, pulsación de teclas, establecer comunicación a través de bluetooth, grabar conversaciones usando el micrófono del equipo y demás etc.

A simple vista parecer ser extremadamente similar a otras variantes de Malware, sin embargo Flame usa sistemas de cifrado y ofuscación de código a gran escala, además de estar escrito en C y LUA (lenguaje de programación imperativo, estructurado y ligero, utilizado también para video juegos), lo que hace que su análisis por parte de las casas antivirus sea difícil y lleve mucho tiempo.

Recientemente se obtuvo información de un componente interno utilizado por Flame llamado NetworkTypeIdentifier, este hace referencia una lista de sitios Web como *.overture.*, *.gmail.*, *.hotmail.*, *.bbc.co.* y a 3 sitios Iraníes *.baztab.*, *.maktoob.*, *.gawab.*

Hasta ahora tenemos 3 bichos de alto calibre (quizás relacionados entre sí), Stuxnet, DuQu y Flame; considerados como ciberarmas para el espionaje y el sabotaje corporativo. Recordemos que Stuxnet fue utilizado específicamente para atacar instalaciones nucleares iraníes, donde realizó una acción de sabotaje no detectado contra las centrífugas de enriquecimiento de uranio, interrumpiendo su funcionamiento, y de acuerdo a Richard Clarke, éste fue desarrollado por los EEUU.

Se piensa que Flame tiene el mismo propósito, y ha sido desarrollado no por una persona sino por un grupo de personas que además de tener un objetivo específico, están muy bien organizados y cuentan con recursos.

Por otro lado, Flame utiliza vulnerabilidades de los sistemas que muy probablemente no sean públicas, esto lo hace capaz de infectar sistemas operativos aunque estén parcheados y debidamente “protegidos”. Y no hay que olvidar que todavía no se sabe desde cuando está operativo, esto nos dice claramente que los motores antivirus y demás técnicas para asegurar la información han sido poco fiables ante las técnicas usadas por Flame; esto lo hace muy potente ya que es capaz de pasar desapercibido.

Hasta aquí podemos ver que estamos frente a un software muy sofisticado, desarrollado modularmente, capaz de recibir instrucciones por parte de un “centro de control” o “comando operacional” a distancia, pesa más que cualquier otro bicho de su especie (6 Mb el núcleo y unos 20 Mb los módulos). Utiliza un sofisticado método de cifrado, ha evitado ser demasiado público (evita la infección masiva) para no ser detectado, ha evadido todos los sistemas de defensa que conocemos (IDS, Firewalls, políticas de seguridad, antivirus, etc.), utiliza protocolos de comunicación cifrados para recibir/enviar datos, etc.

Así que podemos resumir que Flame no es solo una herramienta para el espionaje/sabotaje sino un kit muy completo y complejo de herramientas para ingresar a cualquier sistema.

Flamer es la más terrorífica herramienta de espionaje cibernético que hemos visto hasta ahora. Llega a lugares donde otros programas espía no llegan, roba información que otros no pueden, y pasa casi desapercibidad” Catalin Cosoi, Chief Security Researcher de Bitdefender.

¿Cómo se si mi equipo está infectado con Flame y qué hacer en caso de que así sea?

Bitdefender ha lanzado una herramienta que comprueba el equipo para saber si hay infección, y en caso de que así sea, remover al bicho del equipo.

Bitdefender Flame removal tool (Descargar para 32 bits y 64 bits)

En Securitybydefault han liberado un script escrito en Phyton que comprueba si un sistema Windows ha sido infectado con Flame

Flame Detector

En mi humilde opinión, pienso que esto bien podría ser mucho más complejo de lo que a simple vista se ve o que solo se quiera pensar que se trata del “bicho que está moda”, muy probablemente detrás de este tipo de Malware estén involucrados personal de los principales gobiernos del mundo, con el claro objetivo del espionaje, sabotaje, robo de información a nivel corporativo y gubernamental…y todo apunta a una guerra cibernética que se está librando en la actualidad.

Este tipo de Malware no es común, y definitivamente no ha sido desarrollado por algún quinceañero en el garaje de su casa. Este tipo de proyectos requieren la participación de varias personas, coordinación, estrategia y dinero; y al parecer (y al igual que Stuxnet y Duqu) todo apunta al Medio oriente, su gobierno, sus plantas nucleares y quien sabe que más.

Fuentes consultadasBitdefender Labs  | SecurityByDefault  | Hispasec  | ESET

Fuente: Expresion Binaria

Share

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.