Kaspersky Lab annuncia la scoperta di un programma nocivo altamente sofisticato, che è stato ampiamente utilizzato come arma informatica per compiere attacchi in diversi paesi. La complessità e le funzionalità del nuovo programma nocivo scoperto, sono superiori rispetto a tutte le precedenti minacce informatiche.
Il malware è stato scoperto dagli esperti di Kaspersky Lab durante un’indagine commissionata dall’International Telecommunication Union (ITU). Il programma nocivo, Worm.Win32.Flame, è stato progettato per lo spionaggio informatico ed è in grado di sottrarre informazioni importanti tra cui i contenuti presenti sul display del computer, ma anche informazioni sui sistemi target, file archiviati, contatti e conversazioni audio.
ITU e Kaspersky Lab hanno iniziato questa ricerca dopo una serie di incidenti avvenuti a causa di un altro, ancora sconosciuto, programma nocivo, denominato Wiper, che ha cancellato i dati su un elevato numero di computer nella regione dell’Asia Occidentale. Questo particolare malware era già stato scoperto, ma durante l’analisi di questi incidenti gli esperti di Kaspersky Lab, insieme a ITU, si sono imbattuti in un nuovo tipo di malware chiamato Flame. I primi risultati indicano che questo malware è stato nascosto per oltre due anni, dal marzo 2010. Grazie alla sua estrema complessità e per la natura degli attacchi mirati, nessun software di sicurezza è stato in grado di rilevarlo.
Anche se le caratteristiche di Flame sono molto diverse da quelle di Duqu e Stuxnet, la geografia degli attacchi, l’utilizzo di uno specifico software per le vulnerabilità e il fatto che solo i computer selezionati vengano presi di mira, indicano che anche Flame appartiene comunque alla stessa categoria delle armi informatiche più importanti.
In merito alla scoperta di Flame, Eugene Kaspersky, CEO e co-fondatore di Kaspersky Lab, ha dichiarato: “Il rischio di una guerra informatica è uno degli argomenti più popolari degli ultimi anni. Stuxnet e Duqu appartenevano ad una sola catena di attacchi che ha sollevato non poche preoccupazioni in tutto il mondo. Il malware Flame sembra appartenere ad un’altra fase di questa guerra, ed è importante rendersi conto che le armi informatiche possono essere utilizzate per attaccare qualsiasi paese. A differenza di una guerra convenzionale, i paesi più sviluppati sono in realtà i più vulnerabili in questo caso”.
L’obiettivo principale di Flame sembra essere lo spionaggio informatico, attraverso il furto di informazioni da macchine infette. Tali informazioni vengono quindi inviate a server di comando e controllo dislocati in diverse parti del mondo. La diversa natura delle informazioni rubate, che può includere documenti, screenshot, registrazioni audio e intercettazioni del traffico di rete, lo rende uno dei più avanzati e completi attack-toolkit mai scoperti prima d’ora. Il vettore dell’infezione deve ancora essere identificato, ma è chiaro che Flame ha la capacità di riprodursi su una rete locale utilizzando diversi metodi, tra cui la vulnerabilità della stampante e il metodo di infezione tramite la porta USB sfruttata da Stuxnet.
Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha aggiunto: “I primi risultati della ricerca condotta su richiesta dell’ITU, confermano la natura di questo programma nocivo. Uno dei fatti più allarmanti è che Flame è attualmente nella sua fase attiva e le sue attività comprendono il monitoraggio costante dei sistemi infetti, attraverso il quale raccoglie informazioni e individua nuovi sistemi attraverso i quali può raggiungere obiettivi ancora sconosciuti”.
Gli esperti di Kaspersky Lab stanno conducendo un’analisi più approfondita di Flame. Nei prossimi giorni una serie di blog post riveleranno i dettagli della nuova minaccia informatica. Per ora ciò che è noto è che Flame è costituito da più moduli e si compone di diversi megabyte di codice eseguibile totalmente e questo lo rende circa 20 volte più grande di Stuxnet. Questo significa che l’analisi di quest’arma informatica richiede un team di esperti estremamente esperto. ITU utilizzerà la rete ITU-IMPACT, che è composta da142 paesi e importanti operatori del settore (compreso Kaspersky Lab) per avvisare i governi e la comunità tecnologica relativamente a questa minaccia informatica.
