Nowy szkodliwy program miniFlame

Przeczytaj także: Program Flame nadal aktywny

Wart podkreślenia jest fakt, że miniFlame może być stosowany w połączeniu z innym programem szpiegowskim – Gaussem. Jak wielu czytelników zapewne pamięta, powstało założenie, że Flame i Gauss były równoległymi projektami, które nie posiadały żadnych wspólnych modułów, ani serwerów C&C. Odkrycie miniFlame'a, który może współpracować z oboma wspomnianymi projektami szpiegowskimi, częściowo potwierdza słuszność naszej konkluzji, że wszystkie badane narzędzia cyberszpiegowskie pochodzą z tej samej „cyberzbrojowni”.

Najwyraźniej rozwój miniFlame'a rozpoczął się kilka lat temu i był kontynuowany do 2012 r. Na podstawie kodu C&C widać, że protokoły wykorzystywane przez „SP” i „SPE” zostały utworzone wcześniej lub w tym samym czasie, co protokół komunikacyjny używany przez Flame'a („FL”), tj. przynajmniej w 2007 r.

Sądzimy, że deweloperzy miniFlame'a stworzyli dziesiątki różnych modyfikacji programu. Jak do tej pory wykryliśmy tylko sześć.

W niektórych przypadkach dedykowane serwery C&C kontrolowały wyłącznie operacje z użyciem „SPE”. Jednocześnie niektóre warianty „SPE” pracowały z serwerami, z którymi komunikował się Flame. Szkodnik miniFlame / SPE różni się od Flame'a i Gaussa znacznie mniejszą liczbą infekcji.

Podczas gdy szacowana przez nas liczba ofiar Flame'a / Gaussa nie jest niższa niż 10 000, „SPE” wykryto na zaledwie kilkudziesięciu systemach w Zachodniej Azji. Oznacza to, że SPE jest narzędziem wykorzystywanym do ukierunkowanych ataków na starannie dobrane cele o najwyższym priorytecie, budzące szczególne zainteresowanie napastników.

W przeciwieństwie do Flame'a, w którego przypadku większość incydentów została zarejestrowana w Iranie i Sudanie, oraz Gaussa, który skoncentrowany był na Libanie, „SPE” nie ma jasnej przynależności geograficznej. Uważamy jednak, że wybór krajów zależy od użytego wariantu „SPE”. Dla przykładu, modyfikacja, znana jako „4.50”, występuje głównie w Libanie i Palestynie. Pozostałe warianty były rejestrowane w innych krajach, takich jak: Iran, Kuwejt czy Katar.

Oryginalny wektor dystrybucji „SPE” nie jest znany. Jednakże, ponieważ wiadomo, że szkodnik działa jako część Flame'a i Gaussa, i że współdzieli serwery C&C z Flamem, wierzymy, że w większości przypadków „SPE” był instalowany z serwerów C&C na systemach, które już wcześniej zostały zainfekowane przez Flame'a lub Gaussa.

Połączenie z Gaussem

Szkodliwe oprogramowanie SPE / miniFlame jest unikatowe w kontekście działania: może pracować jako samodzielny program, a także jako wtyczka Flame lub Gaussa. Zasadniczo jest to ogniwo mocniej łączące ze sobą projekty Flame i Gauss, pozostając jednocześnie od nich niezależnym.

W sumie wykryliśmy sześć różnych wariantów „SPE”. Wszystkie z nich powstały w okresie od 1 października 2010 r. do 1 września 2011.

W momencie pisania tego artykułu na wolności najbardziej rozprzestrzeniony jest wariant o numerze wersji 4.50.