Entenda o que é o Flame

Flame é um dos vários módulos da praga de ciberespionagem. (Foto: Reprodução / Kaspersky)

Especialistas de seguranças divulgaram a descoberta de uma nova praga digital “direcionada” – usada contra apenas alguns alvos específicos. Batizado de Flame ou Skywiper, o código é um avançado software de roubo de informações, sendo capaz de capturar teclas, tirar screenshots, monitorar dispositivos Bluetooth e ligar um microfone conectado ao PC para gravar conversas.

O anúncio foi feito separadamente nesta segunda-feira (28) pelas fabricantes de antivírus Kaspersky Lab e McAfee, pelo CERT do Irã (Maher) e pelo Laboratório de Criptografia e Segurança de Sistemas (Crysys) da Universidade de Budapeste de Tecnologia e Economia, na Hungria.

A maior parte dos detalhes técnicos foi fornecido pelo Crysys e pela Kaspersky Lab, com outras informações fornecidas pela McAfee. O vírus é capaz de detectar a presença de 100 softwares de segurança (antivírus, anti-spywares e firewalls), adequando seu comportamento para não acionar nenhum mecanismo de proteção.

Os pesquisadores também destacaram o tamanho do Flame, que pode chegar a 20 MB. A extensão do código cria dificuldades para a análise, que pode levar “anos” para ser completada.

A estrutura da praga é “modular”, ou seja, funciona com “plug-ins”. Cada “plug-in” tem uma função diferente, como a capacidade de se espalhar para outros computadores ou diferentes técnicas de roubo de dados e contato com os servidores de controle. Cada instalação do Flame pode usar um número diferente de plug-ins.

A praga foi encontrada no Oriente Médio, principalmente no Irã e em Israel, segundo a Kaspersky Lab. Mesmo assim, os alvos eram bastante específicos – instituições, empresas e até indivíduos, não sendo possível traçar um objetivo claro para o ataque. A praga, porém, não é programada para se espalhar automaticamente – ela precisa receber um comando explícito do servidor de controle antes de fazê-lo.

A sofisticação do vírus é tal que os laboratórios acreditam que ele só pode ter sido “patrocinado por um governo”, pois não há nenhuma intenção financeira clara para o código.

A Kaspersky descobriu o vírus enquanto investigava outra praga digital, chamada Wiper, capaz de apagar todos os dados de um sistema. O Wiper ainda “é desconhecido”.

Algumas informações sobre o Flame ainda estão desencontradas. Confira algumas diferenças e outros fatos, abaixo:

Fatos sobre o Flame

Característica Informações Fonte
Nome Flame Kaspersky
Flamer Maher (Irã)
Skywiper McAfee / Crysys
Primeiro uso Março 2010 ou Agosto de 2010 Kaspersky
2007 ou 2010 Crysys
Janeiro de 2011 McAfee
Servidores de controle  10 Maher (Irã)
 80 Kaspersky
Alvos  Oriente Médio Kaspersky
 Oriente Médio + Europa Crysys
Relação com o Stuxnet Provável Maher (Irã)
Improvável Kaspersky
Improvável Crysys
Improvável McAfee

Captura de Dados

  • Captura de teclas (keylogging)
  • Captura de telas (screenshot), ativada somente quando telas “interessantes” estão abertas (e-mails, mensagens instantâneas)
  • Monitoramento da rede (sniffing)
  • Uso de microfone conectado ao PC
  • Monitoramento de dispositivos Bluetooth para coleta de informações e recebimento de instruções

Disseminação

  • Método inicial de infecção é desconhecido
  • Capaz de infectar dispositivos USB usando a mesma técnica do Stuxnet
  • Capaz de se disseminar (possivelmente) para compartilhamentos de rede

Análises

Fonte:Linha Defensiva

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s