Flame (malware)

Flame,[nota 1]​ también conocido como Flamer, sKyWIper,[nota 2]​ y Skywiper,[1]​ es un malware modular descubierto en 2012[2][3]​ que ataca ordenadores con el sistema operativo Microsoft Windows.[4]​ El programa se ha usado para llevar a cabo ataques de ciber espionaje en países de Oriente Medio.[5][4][6]​ Su descubrimiento fue anunciado el 28 de mayo de 2012 por MAHER (el Equipo de Respuesta ante Emergencias Informáticas de Irán),[4]Kaspersky Lab[6]​ y el CrySyS Lab. de la Universidad de Tecnología y Economía de Budapest.[5]​ Este último afirma que "sKyWIper es el malware más sofisticado que hemos encontrado durante nuestros años de trabajo, es el malware más complejo que se ha encontrado".[5]

Investigaciones recientes han indicado que Flame está posicionado para ser recordado como una de las herramientas de ciberespionaje más importantes e intrincadas de la historia. Utilizando una estrategia sofisticada, Flame logró penetrar en numerosos ordenadores en todo Oriente Medio falsificando un certificado de seguridad auténtico de Microsoft.[7]

Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de teclado y tráfico de red.[6]​ El programa también graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener información de los dispositivos Bluetooth cercanos.[8]​ Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.[6]

De acuerdo a las estimaciones de Kaspersky, Flame ha infectado aproximadamente 1.000 máquinas.[8]​ Entre las víctimas se encuentran organizaciones gubernamentales, instituciones educativas y usuarios privados.[6]​ En mayo de 2012, los países más afectados son Irán, Israel, Sudán, Siria, Líbano, Arabia Saudí y Egipto.[2][6]

Historia

[editar]

Flame fue identificado en mayo de 2012 por Kaspersky Lab, MAHER (el Equipo de Respuesta ante Emergencias Informáticas de Irán) y el CrySyS Lab de la Universidad de Tecnología y Economía de Budapest cuando la Unión Internacional de Telecomunicaciones pidió a Kaspersky Lab que investigara unos informes sobre un virus que estaba afectando a los ordenadores del Ministerio del Petróleo de Irán.[8]​ Mientras Kaspersky investigaba, encontraron un hash MD5 y un nombre de archivo que solo aparecía en ordenadores de Oriente Medio. Después de descubrir más piezas, los investigadores nombraron al programa como "Flame".[8]

Especificaciones

[editar]

El malware tiene un tamaño inusualmente grande de 20 MB, está escrito parcialmente en el lenguaje de programación interpretado Lua con código C++ compilado y permite que otros módulos atacantes sean cargados después de la infección inicial.[6][9]​ El malware usa cinco métodos diferentes de cifrado y una base de datos SQLite para almacenar información.[5]​ El método usado para inyectar el código en varios procesos es silencioso, de forma que los módulos malware no aparecen en la lista de los módulos cargados en un proceso y las páginas de memoria son protegidas con los permisos READ, WRITE y EXECUTE que la hacen inaccesible para las aplicaciones en modo usuario.[5]​ El código interno tiene pocas similitudes con otros malware, pero aprovecha dos vulnerabilidades que también fueron usadas previamente por Stuxnet para infectar sistemas.[5]​ El malware determina qué software antivirus está instalado en el sistema y modifica su comportamiento (por ejemplo, cambiando la extensión de archivo que utiliza) para reducir la probabilidad de ser detectado por ese software.[5]​ Indicadores adicionales de que un sistema está infectado son la exclusión mutua (mutex) y la actividad del registro. También la instalación de un driver de audio falso que permite al software iniciarse al arrancar el sistema.[9]

Uso

[editar]

Al igual que otras ciber-armas conocidas, Stuxnet y Duqu, Flame se emplea en objetivos concretos y puede eludir el software de seguridad actual a través de un rootkit.

Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de teclado y tráfico de red.[6]​ El programa también graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener información de los dispositivos bluetooth cercanos.[8]​ Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.[6]

A diferencia de Stuxnet, el cual fue diseñado para dañar procesos industriales, Flame parece haber sido escrito solo con propósitos de espionaje.[10]​ No parece dirigirse a un sector determinado, sino que más bien es "un conjunto de herramientas diseñadas para el ciber-espionaje". [11]

Flame no contiene una fecha predefinida en la cual se desactiva, pero permite a los operadores enviar un comando "kill" que elimina todos sus rastros de un sistema.[8]

Especulación sobre su origen

[editar]

Según Eugene Kaspersky, "la ubicación geográfica de los objetivos y la complejidad de la amenaza no dejan dudas acerca de que existe un estado-nación apoyando el desarrollo de este malware."[2]​ También añade que este malware no se parece a Stuxnet, pero puede haber sido un proyecto paralelo solicitado por los mismos atacantes.[12]

El Equipo de Respuesta ante Emergencias Informáticas de Irán afirma que el cifrado del malware tiene "un patrón especial que solo se ve procedente de Israel."[13]The Daily Telegraph informó que debido a los aparentes objetivos, los cuales incluyen a Irán, Siria y Cisjordania, Israel se convirtió en "sospechoso de los comentaristas principales". Otros comentaristas nombraron a China y EE. UU. como posibles autores.[12]Richard Silverstein, un comentarista crítico con las políticas de Israel, declaró que él había confirmado con una "fuente israelí de alto rango" que el malware fue creado por expertos informáticos de Israel.[14][12]The Jerusalem Post escribió que el Viceprimer Ministro israelí Moshe Ya'alon parece haber dado a entender que su gobierno fue el responsable,[12]​ mientras que funcionarios de seguridad de Israel señalaron que las máquinas infectadas en Israel son una prueba de que EE. UU. está detrás del malware.[15]

Una red de 80 servidores a lo largo de Asia, Europa y América del Norte han sido usados para acceder a las máquinas infectadas de forma remota.[16]

Véase también

[editar]

Enlaces externos

[editar]

Virus flame: la primera bomba atómica de la ciberguerra

Notas

[editar]
  1. "Flame" es una de las cadenas de texto encontradas en el código. También es un nombre usado comúnmente en los exploits para referirse a un ataque.
  2. El nombre "sKyWIper" deriva de las letras "KWI", las cuales son usadas como nombre parcial del archivo por el malware.

Referencias

[editar]
  1. «Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East». Symantec. Archivado desde el original el 30 de mayo de 2012. Consultado el 30 de mayo de 2012. 
  2. a b c Lee, Dave (28 de mayo de 2012). «Flame: Massive Cyber-Attack Discovered, Researchers Say». BBC News. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  3. McElroy, Damien; Williams, Christopher (28 de mayo de 2012). «Flame: World's Most Complex Computer Virus Exposed». The Daily Telegraph. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  4. a b c «Identification of a New Targeted Cyber-Attack». Iran Computer Emergency Response Team. 28 de mayo de 2012. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  5. a b c d e f g «sKyWIper: A Complex Malware for Targeted Attacks». Budapest University of Technology and Economics. 28 de mayo de 2012. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  6. a b c d e f g h i Gostev, Alexander (28 de mayo de 2012). «The Flame: Questions and Answers». Securelist. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  7. Munro, Kate (1 de octubre de 2012). «Deconstructing Flame: the limitations of traditional defences». Computer Fraud & Security 2012 (10): 8-11. ISSN 1361-3723. doi:10.1016/S1361-3723(12)70102-1. Consultado el 15 de febrero de 2024. 
  8. a b c d e f Zetter, Kim (28 de mayo de 2012). «Meet ‘Flame,’ The Massive Spy Malware Infiltrating Iranian Computers». Wired. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  9. a b «Flamer/sKyWIper Malware Analysis». FireEye. Consultado el 30 de mayo de 2012. 
  10. Cohen, Reuven (28 de mayo de 2012). «New Massive Cyber-Attack an 'Industrial Vacuum Cleaner for Sensitive Information'». Forbes. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  11. Albanesius, Chloe (28 de mayo de 2012). «Massive 'Flame' Malware Stealing Data Across Middle East». PC Magazine. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  12. a b c d «Flame Virus: Who is Behind the World's Most Complicated Espionage Software?». The Daily Telegraph. 29 de mayo de 2012. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  13. Erdbrink, Thomas (29 de mayo de 2012). «Iran Confirms Attack by Virus That Collects Information». The New York Times. Archivado desde el original el 30 de mayo de 2012. Consultado el 30 de mayo de 2012. 
  14. Silverstein, Richard (28 de mayo de 2012). «Flame: Israel’s New Contribution to Middle East Cyberwar». Tikun Olam. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  15. «Iran: ‘Flame’ Virus Fight Began with Oil Attack». Time. Associated Press. 31 de mayo de 2012. Archivado desde el original el 3 de junio de 2012. Consultado el 31 de mayo de 2012. 
  16. «Flame virus: Five facts to know». The Times of India. Reuters. 29 de mayo de 2012. Archivado desde el original el 23 de julio de 2012. Consultado el 30 de mayo de 2012.