Flame la nueva arma del ciberespionaje descubierta en Iran

Un malware muy sofisticado y masivo llamado “Flame” fue identificado recientemente infectando sistemas iraníes y de algunos otros países, y se cree que es parte de una operación internacional de espionaje (en un capítulo más de la ciberguerra).

 

El malware fue descubierto por la compañía rusa Kaspersky Lab, y se trataría de una herramienta que tiene por objetivo conseguir datos desde Irán, el Líbano, Siria, Sudán y otros países de Medio Oriente y el Norte de África. El malware habría sido creado hace dos años.

Según las primeras investigaciones, Flame estaría diseñado para espiar a los usuarios de los computadores infectados y robar datos, incluyendo documentos, conversaciones grabadas y las secuencias de tecleado. También abre una puerta trasera en los sistemas infectados para permitir a los atacantes modificar la herramienta y añadir nuevas funciones.

Espionaje

Cuando está totalmente instalado, Flame pesa 20 MB y contiene múltiples bibliotecas, bases de datos SQLite3 y varios niveles de cifrado, además de 20 plugins que pueden ser intercambiado para proveer diferentes funcionalidades a los atacantes. Llamó la atención que incluye una máquina virtual LUA, un lenguaje de programación inusual cuando se trata de malware. Según Kaspersky Lab, es “una de las amenazas más complejas jamás descubiertas”.

Según la compañía, Flame es mucho más grande que Stuxnet, virus que saboteó el funcionamiento de plantas nucleares en Irán en 2009 y 2010. Aunque Flame tiene otro propósito y parece haber sido escrito por programadores diferentes a los de Stuxnet, el área geográfica y el comportamiento que tiene serían indicadores de que hay un país detrás de Flame. “No está diseñado prar robar dinero de las cuentas bancarias”, y tampoco cumple con las características de las herramientas usadas por hacktivistas. Así, esta sería otra herramienta de ciberguerra encargada por un Estado.

 

Kaspersky dice que Flame podría haber sido encargado por las mismas personas que encargaron Stuxnet y quizás DuQu, pero como un proyecto paralelo a otro equipo de desarrolladores.

“Stuxnet y DuQu eran parte de una misma cadena de ataques, que aumentó las preocupaciones de ciberguerra en el mundo. El malware Flame parece ser otra fase en esta guerra, y es importante entender que una ciberarma como ésta puede ser fácilmente usada contra cualquier país”, dijo Eugene Kaspersky, co-fundador y CEO de la empresa.

Ataque sofisticado

Flame parece haber comenzado a operar en marzo de 2010, y permaneció fuera del radar de las compañías de antivirus hasta ahora. Kaspersky descubrió el malware hace unas dos semanas, cuando la comisión de Telecomunicaciones de la ONU le pidió a la empresa revisar unos informes de abril, donde se indicaba que computadores del Ministerio del Petróleo y de la Compañía Nacional de Petróleo de Irán habían sido infectados con malware que estaba robando y eliminando información de los sistemas. El malware mencionado entonces era llamado “Viper”.

Cuando los investigadores de Kaspersky se pusieron a revisar, encontraron que había algo más que Viper, identificando componentes que corresponderían a Flame y que esto se trataría de una infección separada y más profunda que el malware que les habían pedido revisar.

Uno de los módulos de Flame, por ejemplo, permite encender el micrófono de un equipo infectado para grabar conversaciones que ocurran alrededor del equipo, o a través de Skype. Las conversaciones son almacenadas y enviadas regularmente a los servidores de comando y control. También hay un módulo que usa el Bluetooth para detectar otros equipos en las cercanías y robar los nombres y números de los contactos, y un módulo que toma pantallazos de la máquina y los envía a los servidores de comando y control de los atacantes. De forma interesante, Flame toma pantallazos más seguidos cuando el usuario está utilizando aplicaciones “interesantes”, como mensajería instantánea.

Aunque no parece haber sido desarrollado por los mismos que crearon Stuxnet y Duqu, hay algunos indicadores de que quienes crearon Flame tenían acceso a la tecnología usada en el proyecto Stuxnet, como métodos de infección, y explotar las mismas vulnerabilidades usadas por Stuxnet. Sin embargo, no se puede descartar que haya sido desarrollado después de Stuxnet, y que los autores de Flame hubiesen aprendido de la información que se hizo pública sobre Stuxnet.