Analiza miniFlame’a wykazała istnienie kilku wersji szkodnika, utworzonych pomiędzy rokiem 2010 i 2011, z kilkoma wariantami istniejącymi nadal na wolności. Badanie ujawniło także nowe dowody ścisłej współpracy pomiędzy twórcami Flame’a i Gaussa, ponieważ oba te szkodniki podczas wykonywania swoich cyberprzestępczych działań używały miniFlame’a jako własnej “wtyczki”.
Główne ustalenia:
- miniFlame, znany również jako SPE, oparty jest na tej samej platformie co Flame. Może funkcjonować jako niezależne narzędzie cyberszpiegowskie lub jako komponent zaszyty wewnątrz Flame’a i Gaussa.
- Narzędzie cyberszpiegowskie miniFlame działa jako backdoor przeznaczony do kradzieży danych i pozyskiwania bezpośredniego dostępu do zainfekowanych systemów.
- Prace nad miniFlamem prawdopodobnie rozpoczęły się już w roku 2007 i trwały do końca 2011 r. Uważa się, że zostało stworzonych wiele wariantów szkodnika. Na chwilę obecną eksperci z Kaspersky Lab zidentyfikowali sześć odmian miniFlame’a, obejmujących dwie główne generacje: 4.x oraz 5.x.
- W odróżnieniu od Flame’a i Gaussa, w przypadku których liczba infekcji była bardzo duża, ilość infekcji spowodowanych przez miniFlame’a jest stosunkowo niewielka. Zgodnie z danymi Kaspersky Lab, liczba infekcji najnowszym wariantem szkodnika waha się pomiędzy 10 a 20 maszyn. Całkowita liczba infekcji na świecie szacowana jest na 50 – 60 komputerów.
- Liczba infekcji, w połączeniu z funkcjami kradzieży informacji i elastycznością, jaką dysponuje miniFlame, wskazuje na fakt, że narzędzie było używane do ściśle ukierunkowanych operacji cyberszpiegowskich, i stosowane najprawdopodobniej wewnątrz maszyn, które były już wcześniej zainfekowane przez Flame’a lub Gaussa.
Wykrycie
Wykrycie miniFlame’a zbiegło się w czasie ze szczegółową analizą Flame’a i Gaussa. W lipcu 2012 r. eksperci z Kaspersky Lab zidentyfikowali nowy moduł Gaussa o nazwie kodowej “John” i znaleźli odwołania do tego samego modułu w plikach konfiguracyjnych Flame’a. Kolejna analiza serwerów centrum kontroli Flame’a, przeprowadzona we wrześniu 2012 r, pomogła ujawnić fakt, że odkryty moduł jest w istocie osobnym szkodliwym programem, jednak może zostać wykorzystany przez Gaussa i Flame’a jako “wtyczka”. W kodzie oryginalnych serwerów centrum kontroli Flame’a, miniFlame posiadał nazwę kodową “SPE”.
Eksperci z Kaspersky Lab wykryli sześć różnych wariantów szkodnika miniFlame – wszystkie datowane na okres 2010/2011 r. Jednocześnie analiza miniFlame’a wskazuje na jeszcze wcześniejszy termin zapoczątkowania rozwoju tego szkodliwego oprogramowania – nie później niż w roku 2007. Możliwość użycia miniFlame’a jako wtyczki Flame’a lub Gaussa wyraźnie wskazuje na współpracę pomiędzy grupami opracowującymi i rozwijającymi projekty Gauss oraz Flame. Ponieważ związek pomiędzy Flamem i Stuxnetem / Duqu został już ujawniony, można stwierdzić, że wszystkie te zaawansowane zagrożenia pochodzą z tej samej “cybernetycznej zbrojowni”.
Funkcjonalność
Oryginalny wektor infekcji miniFlame’a nie jest jeszcze określony. Zakładając potwierdzony związek pomiędzy miniFlamem, Flamem i Gaussem, miniFlame mógł być instalowany na komputerach zainfekowanych przez Flame’a lub Gaussa. Po zainstalowaniu miniFlame funkcjonuje jako backdoor i umożliwia napastnikom wyciągnięcie z zainfekowanej maszyny dowolnych plików. Dodatkowe funkcje kradzieży danych zawierają możliwość wykonywania zrzutów ekranu zainfekowanej maszyny podczas pracy z określonymi programami lub aplikacjami, takimi jak: przeglądarki internetowe, aplikacje pakietu Microsoft Office, Adobe Reader, usługa komunikatora internetowego lub klienta FTP. miniFlame przesyła skradzione dane łącząc się ze swoim serwerem kontroli (który może być niezależny lub “współdzielony” z Flamem). Na osobne żądanie operatora do zainfekowanego systemu może zostać dosłany dodatkowy moduł wyspecjalizowany w kradzieży danych, infekujący napędy USB i wykorzystujący je do przechowywania danych, które są pobierane z zainfekowanych komputerów niedysponujących połączeniem internetowym.
Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab, całą sprawę skomentował następująco:
“miniFlame to wysoce precyzyjne narzędzie ataku. Najprawdopodobniej jest to ukierunkowana cyberbroń, wykorzystywana w tym, co możemy określać mianem drugiej fali cyberataku. Najpierw Flame lub Gauss stosowane są do zakażenia tak wielu ofiar, jak to możliwe w celu gromadzenia dużych ilości informacji. Po zebraniu i przejrzeniu danych określana i identyfikowana jest potencjalnie interesująca ofiara, a miniFlame jest instalowany na jej komputerze w celu przeprowadzenia bardziej szczegółowego rekonesansu i cyberszpiegostwa. Wykrycie miniFlame’a dodatkowo utwierdza nas w przekonaniu o kooperacji, jaka istniała (i prawdopodobnie nadal istnieje) pomiędzy twórcami najbardziej znanych szkodliwych programów, wykorzystywanych do cybernetycznych operacji bojowych: Stuxneta, Duqu, Flame’a i Gaussa”.
Firma Kaspersky Lab dziękuje grupie CERT-Bund/BSI za nieocenioną pomoc udzieloną podczas prowadzenia tego dochodzenia.
Dodatkowe informacje na temat szkodnika miniFlame można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab Polska: http://www.viruslist.pl/weblog.html?weblogid=833.