Flame

El malware Flame es una herramienta sofisticada de ciberespionaje que comparte código con la primera ciberarma digital Stuxnet, haciendo uso de la característica de Windows Autorun para propagarse utilizando memorias USB y aprovechando una vulnerabilidad 0day de buffer-overflow en el fondo de pantalla de Windows que proporcionaba permisos de administrador a los atacantes. Este malware ha estado activo durante al menos 4 años, transcurso de tiempo mientras se desarrolló, mejoró y utilizó Stuxnet y Duqu. El alcance de su infección ha sido muy controlada, algo más de 1000 máquinas, aunque repartidas en más de 12 países, principalmente países de Oriente Medio.

El malware Flame está compuesto por 20 módulos y ha heredado el nombre del módulo principal, dependiendo de la finalidad del espionaje los atacantes desplegaban unos u otros sobre la máquina infectada mediante una puerta trasera. Mientras que Stuxnet era una bomba de 500 KB, las 650.000 líneas de código de Flame ocupan nada más y nada menos que 20 MB. Entre sus módulos podemos encontrar uno llamado Viper capaz de robar documentos, otro que registra las teclas que pulsamos, además de realizar capturas de pantalla periódicamente, otro capaz de grabar conversaciones encendiendo el micrófono u otro capaz de robar la información que se transmite mediante bluetooth.

Una de las cosas llamativas de Flame es que tan solo transmitía el primer KB de los ficheros robados hacia los servidores de control, donde probablemente se analizaba mediante el proyecto TURBINE, que fue revelado por Edward Snowden, para ver si era interesante descargarlo por completo. Flame tenía una lista de extensiones de ficheros que vigilaba, entre ellos documentos de Microsoft Word, presentaciones PowerPoint, archivos Excel y documentos AutoCAD, los cuales también eran objetivo del malware Duqu, además también robaba certificados digitales.

Otra de las características impactantes era su mecanismo de propagación en la red local, utilizaba el ataque denominado evilgrade que se aprovechaba del sistema de actualizaciones de Windows. De tal manera que cuando un equipo realizaba una petición de actualización hacia los servidores de Microsoft, esta petición era capturada por una máquina infectada que respondía con un paquete de actualización camuflando la herramienta de espionaje. Para ello era necesario firmar la actualización con un certificado digital legítimo de Microsoft, que los atacantes habían conseguido explotando una debilidad en el algoritmo MD5 que permite crear el mismo hash desde dos conjunto de datos distintos, es decir, consiguieron colisiones en el hash, una tarea nada fácil que requiere mucho cómputo y que necesita generar muchos certificados para obtener uno bueno.

Flame que estaba dirigido hacia compañías privadas, agencias del gobierno e instituciones académicas es un malware del que se tiene mucha información debido a que cuando los atacantes se percataron que estaban siendo investigados cometieron una torpeza al llamar al módulo Browse32, dedicado a limpiar los sistemas infectados que les permitiría borrar cualquier evidencia del ciberespionaje. El error lo tuvieron al llamar al script LogWiper.sh encargado de borrar todos los logs de los servidores de control finalizando con un auto-borrado, sin embargo el auto-borrado intentaba borrar el fichero logging.sh en lugar de LogWiper.sh dejando a los servidores de control con suficiente información de la operación de espionaje. Por ejemplo se sabe que uno de los servidores de control ubicado en Malasia alojaba una web llamada NewsforYou donde en los apartados “News” y “Ads” se encontraban los módulos que los atacantes instalaban en los equipos de las víctimas, mientras que el apartado “Entries” almacenaba datos de los equipos infectados.

Leer, analizar y estudiar el funcionamiento de malwares de la talla como Stuxnet, Duqu o Flame nos muestra la inteligencia, habilidades y destrezas excepcionales de los atacantes.

Un saludo amigos!