Flame, infatti, esiste da almeno due anni, ma grazie alla sua estrema complessità e per la natura degli attacchi mirati, nessun software di sicurezza è stato in grado di rilevarlo.
Uno dei mezzi utilizzati per infettare il PC è tramite pen drive USB, come accaduto per Stuxnet. Inoltre, il malware può diffondersi nella rete locale, sfruttando una vulnerabilità di Windows nei sistemi con stampante condivisa, o quando eseguito da un utente che possiede i diritti di amministratore per un controller di dominio. Una volta installato sulla macchina target, Flame colleziona tutte le informazioni sensibili utilizzando differenti metodi: sniffing del traffico di rete, registrazione delle conversazioni audio mediante il microfono del PC, screenshot di alcune applicazioni ritenute interessanti, tra cui i software di instant messaging, e intercettazione della tastiera. Il malware è in grado anche di “ascoltare” a distanza i dispositivi connessi al sistema infetto tramite Bluetooth. I dati raccolti vengono poi inviati a diversi server di comando e controllo dislocati in varie parti del mondo.
La complessità di Flame, che in un certo senso lo rende unico, è dimostrato dalla sua dimensione di oltre 20 MB. Ciò rende più difficile analizzare ogni riga di codice per scoprire con esattezza il suo funzionamento. Si tratta di una vera e propria applicazione costituita da numerosi moduli che continuano ad essere aggiornati. Secondo Kaspersky, teoricamente gli autori del malware potrebbero essere tre: hacktivisti, cybercriminali e stati. Dato che non è stato creato per rubare denaro dai conti bancari ed essendo molto diverso dai semplici tool usati dagli hacktivisti, Flame è stato certamente sponsorizzato da qualche nazione, come si evince anche dalla posizione geografica dei target (Iran, Israele/Palestina, Sudan, Siria, Libano, Arabia Saudita e Egitto).
ITU utilizzerà la rete ITU-IMPACT, composta da 142 paesi e importanti operatori del settore (inclusi i Kaspersky Lab), per avvisare i governi e la comunità tecnologica relativamente a questa minaccia informatica.
Fonte WebNews