Otkriven miniFlame, malver za sajber špijunažu, povezan sa malverima Flame i Gauss

Opisi virusa, 16.10.2012, 10:48 AM

Kaspersky Lab je objavio otkiće malog i veoma fleksibilnog malicioznog programa, koji je razvijen sa ciljem krađe podataka i kontrole zaraženih sistema za potrebe sajber špijunaže.

miniFlame koji je poznat i pod nazivom SPE, stručnjaci Kaspersky Lab-a otkrili su u julu ove godine, a malver je najpre identifikovan kao modul poznatog malvera Flame koji je otkriven u maju.

Međutim, nakon što je istraživački tim Kasperksy Lab-a spoveo dublju analizu serevra za komandu i kontrolu malvera Flame, došlo se do zaključka da miniFlame može biti korišćen i kao nezavisan maliciozni program ili kao dodatak za malvere Flame i Gauss. Ova dva malvera uglavnom služe za krađu podataka dok miniFlame služi kao backdoor koji omogućava napadaču pristup zaraženom sistemu, iz čega se može zaključiti da se funkcionlnost i namena miniFlame-a razlikuju od Flame-a i Gauss-a.

Sličnost u kodu povezala je Flame i Gauss, ali otkriće da miniFlame može funkcionisati kao modul oba malvera je najubedljiviji dokaz da su oni povezani.

Razvoj miniFlame-a započeo je početkom 2007. godine i rad na njegovom kodu nastavljen je do kraja prošle godine. On je imao mnogo verzija, a Kaspersky Lab je do sada otrkio 6 verzija ovog malvera koje pripadaju dvema generacijama: 4.x i 5.x. Neke od tih verzija su i dalje aktivne.

Način infekcije računara miniFlame-om za sada nije poznat, ali stručnjaci veruju da ovaj mini malver preuzimaju Flame ili Gauss i instaliraju ga na računaru. Dokaz za to bi moglo biti otkriće da većina računara zaraženih miniFlame-om, prethodno je već bila zaražena Flame-om ili Gauss-om.

Za razliku od Flame-a i Gauss-a, koji su imali relativno veliki broj infekcija, broj računara zaraženih malverom miniFlame je značajno manji i prema podacima Kaspersky Lab-a kreće se između 10 i 20 računara. Ukupan broj infekcija u svetu je procenjen na 50-60.

Stručnjaci Kaspersky Lab-a pretpostavljaju da je miniFlame deo operacija u kojima učestvuju malveri Flame i Gauss koje su se odvijale u nekoliko talasa. Najpre je trebalo zaraziti što više računara. Zatim su prikupljani podaci žrtava, a napadači su na osnovu tih podaataka mogli pronaći najzanimljivije mete. Posle odabira meta, specijalizovani špijunski alat kakav je miniFlame je stupao na scenu i vršio nadzor nad žrtvama. Aleksander Gostev iz Kaspersky Lab-a kaže da je miniFlame verovatno sajber oružje korišćeno u drugom talasu sajber napada malverima Flame ili Gauss koji su korišćeni za infekciju većeg broja računara i prikupljanje velike količine podataka.

Jednom instaliran, miniFlame služi kao backdoor i omogućava onima koji ga kontolišu da dođu do bilo kog fajla na zaraženom računaru. miniFlame ima i sposobnost krađe podatka koja uključuje i pravljenje snimaka ekrana tokom rada određenih programa kao što su brauzer, programi iz MS Office paketa, Adobe Reader, chat servis ili FTP klijent.

miniFlame otprema ukradene podatke na server za komandu i kontrolu koji može biti poseban ili zajednički koji mini malver deli sa Flame-om.

Flame-ov dodatak za samouništenje ne uklanja nijedan miniFlame-ov fajl. “Mali” malver mora biti posebno uklonjen sa računara. Stručnjaci pretpostavljaju da je to zbog toga što su autori miniFlame očekivali da će malver ostati neprimećen nakon otkrića Flame-a.

Jedna od verzija miniFlame-a ima sposobnost infekcije USB diskova dodatnim modulom za krađu podataka koji prikuplja podatke sa računara koji nisu povezani na internet.

Otkriće miniFlame-a nudi dodatne već postojećim dokazima o povezanosti autora najpoznatijih malicioznih programa korišćenih u operacijama sajber rata - malvera Stuxnet, Duqu, Flame i Gauss.

Više detalja o ovome možete pronaći na blogu kompanije Kaspersky Lab, SecureList.