MiniFlame: sete fatos sobre o novo malware e ciberespionagem

Quantos malwares de ciberespionagem estão à solta e qual é o alvo deles? A Kaspersky Lab revelou nesta semana que, em setembro de 2012, seus especialistas descobriram uma misteriosa peça de código conectado ao malware Flame, que eles suspeitavam ser um módulo do ataque mas ou, então, um programa autônomo. Conhecido como MiniFlame, o malware também consegue interoperar tanto com o Flame quanto com o Gauss, os quais, assim como ele, foram construídos usando um código base relacionado.

Assine a Newsletter do IT Web

Siga o IT Web no Twitter

Curta, no Facebook, a Fan Page do IT Web

 

O MiniFlame é digno de nota porque é uma advanced persistent threat (APT) criada por uma nação que foi  projetada para ser usada com ataques de alvo de alto escalão, enquanto continuava difícil de ser detectada. Isso, é claro, levanta a questão sobre quais outros tipos de malware de espionagem podem estar em circulação. Aqui estão sete fatos relacionados:

1. O Flame criou mais do que o MiniFlame. A Kaspersky Lab estima que há cerca de dez mil infecções Gauss no total, bem como 5.500 infecções Flame, mas somente 50 ou 60 infecções MiniFlame, o que significa que o minimalware foi usada em ataques tendo como alvo alto escalão. Após rever o código base do Flame, os pesquisadores da empresa afirmaram que acharam referências ao client tipo “FL”- que é o Flame – bem como ao “SP”, “SPE” e “IP”. Apesar de os pesquisadores afirmarem que acharam recentemente amostras do SPE no modo selvagem (MiniFlame), ainda têm que descobrir as outra duas ferramentas de ciberespionagem ou cibersabotagem criadas pelo mesmo autor, afirma uma postagem de blog da equipe de pesquisa e análise global da empresa.

2. A descoberta do MiniFlame foi por pura sorte. A ameaça foi encontrada após serem vistas comunicações relacionadas por meio de um servidor command-and-control (C&C)  conhecido do Flame. Quantos mais servidores Flame CYC estão em uso?

3. Alvo. Se o Flame tem como alvo o Oriente Médio, quem ataca a Coreia do Norte? O Flame não é o único malware com essas características. Quantas outras formas de espionagem ainda não foram descobertas? Até o momento, a maioria dos malwares relacionados  têm como “foco o Oriente Médio”, afirmou Eric Byres, CTO da Tofino Security e fundador da British Columbia Institute of Technology (BCIT) Critical Infrastructure Security Center, no Canadá. “Adivinhem… Esse não é o único ponto de interesse dos Estados Unidos”. Qual é o alvo do MiniFlame (SPE)? “Diferentemente do Flame, a grande maioria de incidentes foram registrados no Irã e Sudão, e também diferentemente do Gauss, que foi mais visto no Líbano, o SPE não tem uma área geográfica clara. Entretanto, achamos que a escolha do país depende da variante do SPE. Por exemplo, as modificações conhecidas como ‘4.50’ são mais encontradas no Líbano e Palestina. As outras variantes foram encontradas em outros países, como o Irã, Arábia Saudita e Qatar”, explicou a empresa Kaspersky Lab. Além disso, os Estados Unidos não são o único país que usa esses tipos de espionagem APTs. “Pode apostar que qualquer um que tenha habilidades militares sofisticadas faz o mesmo. Então, onde estão os Flames russos e chineses?”, argumentou Byres.

4. Flame eliminado. No momento, o Flame não é de muita utilidade para seus criadores, já que as empresas de antivírus têm sua assinatura e conseguem visualizá-lo e removê-lo. Mas e se o malware foi projetado para se eliminado após sua descoberta, sem comprometer outros softwares de ciberespionagem? “A única maneira de o Flame e Stuxnet terem sido conectados refere-se à base de código relacional. Esse compartilhamento, contudo, desapareceu posteriormente. Então ficou clara a decisão de alguém de separar os códigos, porque não é desejável que as operações Flame impactem nas operações Stuxnet – ou o contrário”, explicou Byres, que também é especialista no malware Stuxnet.

5. O desenvolvimento do Flame foi provavelmente compartimentado. Byres, que zombou que seu conhecimento de espionagem “vem de tanto assistir James Bond”, disse que diferentemente dos painéis do cibercrime, que se focam na facilidade do uso, as tabelas de controle do Flame descobertas pela Kaspersky Lab sugerem que o malware é usado de forma compartimentada. “A interface é ultrassecreta, e exige que sejam carregados módulos e que ações sejam executadas. Não é tão fácil quanto o Windows, então deve haver um terceiro escrevendo as ações e depois dizendo ao operador: ‘execute esse módulo’”. Em outras palavras, quem administra o Flame pode carregar módulos e depois retornar dados para uma parte externa, sem revelar quais PCs eram o alvo ou qual tipo de dados foram colhidos.

6. Os Estados Unidos estão com uma fábrica de ciberarmas em execução. Dadas as descobertas de que os malwares Flame e Gauss parecem ter conexão com o Stuxnet e um funcionário do governo dos Estados Unidos ter confirmado, anonimamente, que o Stuxnet foi projetado pelo país como parte do chamado projeto “Jogos Olímpicos”, é óbvio que não tem medo de usar malwares para propósitos de espionagem.

7. Criminosos aprendem com os avanços de malware. Outra preocupação das operações de espionagem por malware realizada por países é que logo os criminosos começam a usá-las. Em um um relatório com propóstitos de vigilância de 2009, os pesquisadores da Universidade de Cambridge Shishir Nagaraja e Ross Anderson escreveram: “o que os chineses criaram em 2008, os russos copiarão em 2010 e até mesmo criminosos com baixo rendimento de países menos desenvolvidos seguirão o curso”. Em outras palavras, quanto tempo levará para o Flame se tornar a inspiração para o malware visando instituições financeiras de amanhã?

 

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini