Flame capturado por especialistas de segurança

esquisadores da área de segurança descobriram¹ a "ciberarma mais sofisticada" já encontrada no Oriente Médio. O programa malicioso, batizado de "Flame", possui uma estrutura modular e se especializa em coletar informação. Entre seus recursos estão a possibilidade de gravação de áudio, monitorar uso do teclado, escutar por tráfego de rede e realizar capturas de tela do sistema da vítima. Parece ser um sistema que já está a solta há alguns anos e tem sido usado para ataques direcionados em países como Irã², Israel, Sudão, Síria e Líbano, e permaneceu todo esse tempo incólume a software de antivírus.
Especialistas de segurança na Kaspersky³ e Symantec⁴ já descobriram mais de 20 módulos e plugins para o malware, dos quais apenas uns poucos foram investigados em detalhe. O aplicativo malicioso contêm uma máquina virtual para a linguagem de scripting Lua⁵, tornando extremamente fácil o desenvolvimento de extensões flexíveis. Esse super-spyware, com outros nomes como Flamer ou SkyWiper, é também um bot convencional, que contata regularmente um servidor de controle-e-comando (comand-and-control) de onde obtêm novas instruções e envia as informações que coletou usando uma conexão criptografada em SSL.

⁶

O bot possui vários meios de se espalhar, incluindo através de dispositivos de armazenamento USB e redes locais. Em uma rede local, o Flame é capaz de usar o controle de domínios para criar contas de usuários em outros computadores, que depois usa para infectar as máquinas. Ainda não está claro se para isso ele usa vulnerabilidades presentes em versões não atualizadas do Windows -- a Kaspersky relatou até mesmo casos em que o Flame foi capaz de infectar sistemas Windows 7 completamente atualizados através da rede.
Em análise sobre seu funcionamento, os especialistas da Kaspersky acreditam que o Flame é um software de espionagem industrial desenvolvimento pelo governo de um país. O malware possui o tamanho considerável de 20MB. Ele é 20 vezes maior do que o Stuxnet, contudo esse último foi desenvolvido especificamente para um único objetivo -- sabotar plantas de enriquecimento de urânio em Natanz, Irã.
Contudo, o alvo desse super-spyware ainda é incerto. Ele foi provavelmente usado diversas vezes em uma série de cenários para penetrar alvos específicos. Os pesquisadores do vírus observaram o Flame em sistemas pertencentes a organizações do governo, instituições educacionais e particulares. Os pesquisadores estimam que milhares de computadores estejam infectados.

Fonte: linux magazine.