Llama (malware)

Se descubrió malware informático modular en 2012

Flame , ^[a] también conocido como Flamer , sKyWIper , ^[b] y Skywiper , ^[2] es un malware informático modular descubierto en 2012 ^{[3] [4]} que ataca a los ordenadores que ejecutan el sistema operativo Microsoft Windows . ^[5] El programa se utiliza para el espionaje cibernético dirigido en países de Oriente Medio . ^{[1] [5] [6]}

Su descubrimiento fue anunciado el 28 de mayo de 2012 por el Centro MAHER del Equipo Nacional de Respuesta a Emergencias Informáticas (CERT) de Irán, ^[5] Kaspersky Lab ^[6] y CrySyS Lab de la Universidad de Tecnología y Economía de Budapest . ^[1] El último de ellos afirmó en su informe que Flame "es sin duda el malware más sofisticado que encontramos durante nuestra práctica; podría decirse que es el malware más complejo que se haya encontrado". ^[1] Flame puede propagarse a otros sistemas a través de una red local (LAN). Puede grabar audio, capturas de pantalla , actividad del teclado y tráfico de red . ^[6] El programa también graba conversaciones de Skype y puede convertir a los ordenadores infectados en balizas Bluetooth que intentan descargar información de contacto de dispositivos Bluetooth cercanos. ^[7] Estos datos, junto con los documentos almacenados localmente, se envían a uno de los varios servidores de comando y control que se encuentran dispersos por todo el mundo. Luego, el programa espera más instrucciones de estos servidores. ^[6]

Según las estimaciones de Kaspersky en mayo de 2012, Flame había infectado inicialmente aproximadamente 1.000 máquinas, ^[7] entre las que se encontraban organizaciones gubernamentales, instituciones educativas y particulares. ^[6] En ese momento, el 65% de las infecciones se produjeron en Irán, Israel, Palestina, Sudán, Siria, Líbano, Arabia Saudí y Egipto, ^{[3] [6]} con una "enorme mayoría de objetivos" en Irán. ^[8] También se ha informado de la presencia de Flame en Europa y América del Norte. ^[9] Flame admite un comando de "eliminación" que borra todos los rastros del malware del equipo. Las infecciones iniciales de Flame dejaron de funcionar después de su exposición pública y se envió el comando de "eliminación". ^[10]

Kaspersky Lab ha vinculado a Flame con Equation Group . Sin embargo, Costin Raiu, director del equipo de investigación y análisis global de Kaspersky Lab, cree que el grupo sólo coopera con los creadores de Flame y Stuxnet desde una posición de superioridad: "Equation Group son sin duda los maestros y les están dando a los demás, tal vez, migajas de pan. De vez en cuando les están dando algunas cosas buenas para que las integren en Stuxnet y Flame". ^[11]

Investigaciones recientes han indicado que Flame está posicionado para ser recordado como una de las herramientas de ciberespionaje más importantes y complejas de la historia. Utilizando una estrategia sofisticada, Flame logró penetrar en numerosos ordenadores de Oriente Medio falsificando un certificado de seguridad auténtico de Microsoft. ^[12]

En 2019, los investigadores Juan Andrés Guerrero-Saade y Silas Cutler anunciaron su descubrimiento del resurgimiento de Flame. ^{[13] [14]} Los atacantes utilizaron 'timestomping' ^{[ aclaración necesaria ]} para hacer que las nuevas muestras parecieran creadas antes del comando 'suicide'. Sin embargo, un error de compilación incluyó la fecha de compilación real ( c.  2014 ). La nueva versión (apodada 'Flame 2.0' por los investigadores) incluye nuevos mecanismos de cifrado y ofuscación para ocultar su funcionalidad. ^[15]

Historia

Flame (también conocido como Da Flame) fue identificado en mayo de 2012 por el Centro MAHER del CERT Nacional Iraní, Kaspersky Lab y CrySyS Lab (Laboratorio de Criptografía y Seguridad de Sistemas) de la Universidad de Tecnología y Economía de Budapest cuando la Unión Internacional de Telecomunicaciones de las Naciones Unidas le pidió a Kaspersky Lab que investigara los informes de un virus que afectaba a las computadoras del Ministerio del Petróleo de Irán . ^[7] Mientras Kaspersky Lab investigaba, descubrieron un hash MD5 y un nombre de archivo que aparecían solo en las máquinas de los clientes de las naciones de Oriente Medio. Después de descubrir más piezas, los investigadores apodaron al programa "Flame" en honor a uno de los módulos principales dentro del kit de herramientas [FROG.DefaultAttacks.A-InstallFlame] . ^[7]

Según Kaspersky, Flame ha estado operando en la red al menos desde febrero de 2010. ^[6] CrySyS Lab informó que el nombre de archivo del componente principal fue observado ya en diciembre de 2007. ^[1] Sin embargo, su fecha de creación no se pudo determinar directamente, ya que las fechas de creación de los módulos del malware están configuradas erróneamente en fechas tan tempranas como 1994. ^[7]

Los expertos informáticos lo consideran la causa de un ataque en abril de 2012 que provocó que los funcionarios iraníes desconectaran sus terminales petroleras de Internet. ^[16] En ese momento, la Agencia de Noticias de Estudiantes Iraníes se refirió al malware que causó el ataque como "Wiper", un nombre que le dio el creador del malware. ^[17] Sin embargo, Kaspersky Lab cree que Flame puede ser "una infección completamente separada" del malware Wiper. ^[7] Debido al tamaño y la complejidad del programa, descrito como "veinte veces" más complicado que Stuxnet , el laboratorio afirmó que un análisis completo podría requerir hasta diez años. ^[7]

El 28 de mayo, el CERT de Irán anunció que había desarrollado un programa de detección y una herramienta de eliminación para Flame, y que los había estado distribuyendo a "organizaciones seleccionadas" durante varias semanas. ^[7] Después de la exposición de Flame en los medios de comunicación, Symantec informó el 8 de junio que algunos equipos de comando y control (C&C) de Flame habían enviado un comando "suicida" a los equipos infectados para eliminar todos los rastros de Flame. ^[10] Se eliminaron todas las copias del programa y todos los archivos relacionados. ^[18]

Según estimaciones de Kaspersky en mayo de 2012, inicialmente Flame había infectado aproximadamente 1.000 máquinas, ^[7] entre las víctimas se encontraban organizaciones gubernamentales, instituciones educativas y particulares. ^[6] En ese momento, los países más afectados fueron Irán, Israel, Territorios Palestinos, Sudán, Siria, Líbano, Arabia Saudita y Egipto. ^{[3] [6]} Una muestra del malware Flame está disponible en GitHub.

Operación

Flame es un programa inusualmente grande para malware, de 20  megabytes . Está escrito en parte en el lenguaje de programación Lua con código C++ compilado vinculado, y permite que se carguen otros módulos de ataque después de la infección inicial. ^{[6] [19]} El malware utiliza cinco métodos de cifrado diferentes y una base de datos SQLite para almacenar información estructurada. ^[1] El método utilizado para inyectar código en varios procesos es sigiloso, en el sentido de que los módulos de malware no aparecen en una lista de los módulos cargados en un proceso y las páginas de memoria de malware están protegidas con permisos de LECTURA, ESCRITURA y EJECUCIÓN que las hacen inaccesibles para las aplicaciones en modo usuario. ^[1] El código interno tiene pocas similitudes con otro malware, pero explota dos de las mismas vulnerabilidades de seguridad utilizadas anteriormente por Stuxnet para infectar sistemas. ^{[c] [1]} El malware determina qué software antivirus está instalado, luego personaliza su propio comportamiento (por ejemplo, cambiando las extensiones de nombre de archivo que utiliza) para reducir la probabilidad de detección por ese software. ^[1] Otros indicadores de compromiso incluyen mutex y actividad de registro , como la instalación de un controlador de audio falso que el malware utiliza para mantener la persistencia en el sistema comprometido. ^[19]

Flame no está diseñado para desactivarse automáticamente, pero admite una función de "eliminación" que hace que elimine todos los rastros de sus archivos y funcionamiento de un sistema al recibir un módulo de sus controladores. ^[7]

Flame estaba firmado con un certificado fraudulento supuestamente de la autoridad de certificación Microsoft Enforced Licensing Intermediate PCA. ^[20] Los autores del malware identificaron un certificado de Microsoft Terminal Server Licensing Service que inadvertidamente estaba habilitado para la firma de código y que todavía usaba el débil algoritmo de hash MD5 , luego produjeron una copia falsificada del certificado que usaron para firmar algunos componentes del malware para que parecieran tener su origen en Microsoft. ^{[20] Un} ataque de colisión exitoso contra un certificado se demostró previamente en 2008, ^[21] pero Flame implementó una nueva variación del ataque de colisión de prefijo elegido. ^[22]

Despliegue

Al igual que las armas cibernéticas conocidas anteriormente Stuxnet y Duqu , se utiliza de forma específica y puede evadir el software de seguridad actual mediante la funcionalidad de rootkit . Una vez que un sistema está infectado, Flame puede propagarse a otros sistemas a través de una red local o mediante una memoria USB. Puede grabar audio, capturas de pantalla, actividad del teclado y tráfico de red . ^[6] El programa también graba conversaciones de Skype y puede convertir las computadoras infectadas en balizas Bluetooth que intentan descargar información de contacto de dispositivos Bluetooth habilitados cercanos. ^[7] Estos datos, junto con los documentos almacenados localmente, se envían a uno de los varios servidores de comando y control que están dispersos por todo el mundo. Luego, el programa espera más instrucciones de estos servidores. ^[6]

A diferencia de Stuxnet, que fue diseñado para sabotear un proceso industrial, Flame parece haber sido escrito exclusivamente con fines de espionaje . ^[23] No parece apuntar a una industria en particular, sino que es "un conjunto completo de herramientas de ataque diseñado para fines generales de ciberespionaje". ^[24]

Utilizando una técnica conocida como "sinkholing" , Kaspersky demostró que "una gran mayoría de los objetivos" estaban dentro de Irán, y que los atacantes buscaban especialmente dibujos de AutoCAD , archivos PDF y archivos de texto . ^[8] Los expertos en informática dijeron que el programa parecía estar reuniendo diagramas técnicos con fines de inteligencia. ^[8]

Se ha utilizado una red de 80 servidores en Asia, Europa y América del Norte para acceder a las máquinas infectadas de forma remota. ^[25]

Origen

El 19 de junio de 2012, The Washington Post publicó un artículo en el que se afirmaba que Flame había sido desarrollado conjuntamente por la Agencia de Seguridad Nacional de Estados Unidos , la CIA y el ejército de Israel al menos cinco años antes. Se decía que el proyecto formaba parte de un esfuerzo clasificado con el nombre en código de Juegos Olímpicos , que tenía como objetivo recopilar información de inteligencia en preparación para una campaña de cibersabotaje destinada a frenar los esfuerzos nucleares iraníes. ^[26]

Según el principal experto en malware de Kaspersky, "la geografía de los objetivos y también la complejidad de la amenaza no dejan lugar a dudas sobre que se trata de un estado-nación que patrocinó la investigación que se llevó a cabo". ^[3] Kaspersky dijo inicialmente que el malware no guardaba ningún parecido con Stuxnet, aunque puede haber sido un proyecto paralelo encargado por los mismos atacantes. ^[27] Después de analizar el código más a fondo, Kaspersky dijo más tarde que existe una fuerte relación entre Flame y Stuxnet; la primera versión de Stuxnet contenía un código para propagarse a través de unidades USB que es casi idéntico a un módulo de Flame que explota la misma vulnerabilidad de día cero . ^[28]

El CERT de Irán describió el cifrado del malware como "un patrón especial que solo se ve cuando viene de Israel". ^[29] El Daily Telegraph informó que debido a los objetivos aparentes de Flame, que incluían a Irán, Siria y Cisjordania , Israel se convirtió en "el principal sospechoso de muchos comentaristas". Otros comentaristas nombraron a los EE. UU. como posibles perpetradores. ^[27] Richard Silverstein , un comentarista crítico de las políticas israelíes, afirmó que había confirmado con una "fuente israelí de alto nivel" que el malware fue creado por expertos informáticos israelíes. ^[27] El Jerusalem Post escribió que el viceprimer ministro de Israel, Moshe Ya'alon, parecía haber insinuado que su gobierno era responsable, ^[27] pero un portavoz israelí negó más tarde que esto hubiera sido insinuado. ^[30] Funcionarios de seguridad israelíes anónimos sugirieron que las máquinas infectadas encontradas en Israel pueden implicar que el virus podría rastrearse hasta los EE. UU. u otras naciones occidentales. ^[31] Estados Unidos ha negado oficialmente la responsabilidad. ^[32]

Un documento filtrado de la NSA menciona que lidiar con el descubrimiento de FLAME por parte de Irán es un evento en el que trabajaron en conjunto la NSA y el GCHQ , ^[33] eximiendo de toda culpa al ejército de Israel.

Véase también

• Delito cibernético
• Guerra cibernética
• Normas de seguridad cibernética
• Ciberterrorismo
• Privacidad digital
• Operación High Roller

Notas

1. "Flame" es una de las cadenas que se encuentran en el código, un nombre común para ataques, muy probablemente por exploits ^[1]
2. El nombre "sKyWIper" se deriva de las letras "KWI" que el malware utiliza como nombre de archivo parcial ^[1]
3. MS10-061 y MS10-046

Referencias

1. «sKyWIper: un malware complejo para ataques dirigidos» (PDF) . Universidad de Tecnología y Economía de Budapest . 28 de mayo de 2012. Archivado desde el original (PDF) el 28 de mayo de 2012. Consultado el 29 de mayo de 2012 .
2. "Flamer: una amenaza altamente sofisticada y discreta que ataca Oriente Medio". Symantec. Archivado desde el original el 31 de mayo de 2012. Consultado el 30 de mayo de 2012 .
3. Lee, Dave (28 de mayo de 2012). «Flame: Massive Cyber-Attack Discovered, Researchers Say» (Se descubre un ciberataque masivo, dicen los investigadores). BBC News . Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012 .
4. McElroy, Damien; Williams, Christopher (28 de mayo de 2012). «Flame: el virus informático más complejo del mundo descubierto». The Daily Telegraph . Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012 .
5. «Identificación de un nuevo ciberataque dirigido». Equipo de respuesta a emergencias informáticas de Irán. 28 de mayo de 2012. Archivado desde el original el 29 de mayo de 2012 . Consultado el 29 de mayo de 2012 .
6. Gostev, Alexander (28 de mayo de 2012). «La llama: preguntas y respuestas». Securelist . Archivado desde el original el 30 de mayo de 2012. Consultado el 16 de marzo de 2021 .
7. Zetter, Kim (28 de mayo de 2012). «Conoce a 'Flame', el malware espía masivo que se infiltra en las computadoras iraníes». Wired . Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012 .
8. Lee, Dave (4 de junio de 2012). "Flame: los atacantes 'buscaron datos confidenciales de Irán'". BBC News . Archivado desde el original el 4 de junio de 2012. Consultado el 4 de junio de 2012 .
9. Murphy, Samantha (5 de junio de 2012). "Conoce a Flame, el malware informático más desagradable hasta ahora". Mashable.com. Archivado desde el original el 8 de junio de 2012. Consultado el 8 de junio de 2012 .
10. "Los creadores del malware Flame envían un código 'suicida'". BBC News . 8 de junio de 2012. Archivado desde el original el 24 de agosto de 2012 . Consultado el 8 de junio de 2012 .
11. Equipo de análisis e investigación global de Kaspersky Labs (16 de febrero de 2015). "Ecuación: La estrella de la muerte de la galaxia del malware". SecureList . Archivado desde el original el 17 de febrero de 2015Costin Raiu (director del equipo de investigación y análisis global de Kaspersky Lab): "Me parece que Equation Group es el que tiene los juguetes más geniales. De vez en cuando los comparte con el grupo Stuxnet y el grupo Flame, pero en un principio solo están disponibles para la gente de Equation Group. Equation Group son definitivamente los maestros, y les están dando a los demás, tal vez, migajas de pan. De vez en cuando les están dando algunas cosas buenas para integrar en Stuxnet y Flame".
12. Munro, Kate (1 de octubre de 2012). "Deconstructing Flame: the limitations of traditional defenses" (Desconstruyendo la llama: las limitaciones de las defensas tradicionales). Fraude informático y seguridad . 2012 (10): 8–11. doi :10.1016/S1361-3723(12)70102-1. ISSN  1361-3723.
13. Zetter, Kim (9 de abril de 2019). "Investigadores descubren una nueva versión del infame malware Flame". Vice.com . Vice Media . Consultado el 6 de agosto de 2020 .
14. Chronicle Security (12 de abril de 2019). «¿Quién es GOSSIPGIRL?». Medium . Archivado desde el original el 22 de julio de 2020. Consultado el 15 de julio de 2020 .
15. Guerrero-Saade, Juan Andres; Cutler, Silas (9 de abril de 2019). Flame 2.0: Risen from the Ashes (PDF) (Informe). Chronicle Security . Archivado (PDF) del original el 1 de junio de 2023. Consultado el 17 de mayo de 2024 .
16. Hopkins, Nick (28 de mayo de 2012). «El gusano informático que afectó a las terminales petroleras de Irán es el más complejo hasta ahora». The Guardian . Archivado desde el original el 31 de mayo de 2012. Consultado el 29 de mayo de 2012 .
17. Erdbrink, Thomas (23 de abril de 2012). «Frente a un ciberataque, funcionarios iraníes desconectan de Internet algunas terminales petroleras». The New York Times . Archivado desde el original el 31 de mayo de 2012. Consultado el 29 de mayo de 2012 .
18. "Flame". www.radware.com . Consultado el 25 de septiembre de 2024 .
19. Kindlund, Darien (30 de mayo de 2012). "Flamer/sKyWIper Malware: Analysis". FireEye . Archivado desde el original el 2 de junio de 2012 . Consultado el 31 de mayo de 2012 .
20. «Microsoft publica el aviso de seguridad 2718704». Microsoft . 3 de junio de 2012. Archivado desde el original el 7 de junio de 2012 . Consultado el 4 de junio de 2012 .
21. Sotirov, Alexander; Stevens, Marc; Appelbaum, Jacob; Lenstra, Arjen; Molnar, David; Osvik, Dag Arne; de ​​Weger, Benne (30 de diciembre de 2008). MD5 considerado dañino hoy en día: creación de un certificado CA falso. 25.º Congreso Anual de Comunicación del Caos en Berlín. Archivado desde el original el 25 de marzo de 2017. Consultado el 4 de junio de 2011 .
22. Stevens, Marc (7 de junio de 2012). "CWI Cryptanalist descubre una nueva variante de ataque criptográfico en el malware Flame Spy". Centrum Wiskunde & Informatica. Archivado desde el original el 28 de febrero de 2017. Consultado el 9 de junio de 2012 .
23. Cohen, Reuven (28 de mayo de 2012). «Nuevo ciberataque masivo: una «aspiradora industrial de información confidencial»». Forbes . Archivado desde el original el 31 de mayo de 2012. Consultado el 29 de mayo de 2012 .
24. Albanesius, Chloe (28 de mayo de 2012). "Massive 'Flame' Malware Stealing Data Across Middle East". PC Magazine . Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012 .
25. "Virus de la llama: cinco datos que hay que saber". The Times of India . Reuters. 29 de mayo de 2012. Archivado desde el original el 26 de mayo de 2024 . Consultado el 30 de mayo de 2012 .
26. Nakashima, Ellen (19 de junio de 2012). «Estados Unidos e Israel desarrollaron el virus informático Flame para frenar los esfuerzos nucleares iraníes, según las autoridades». The Washington Post . Archivado desde el original el 18 de julio de 2012. Consultado el 20 de junio de 2012 .
27. "Flame Virus: ¿Quién está detrás del software de espionaje más complicado del mundo?". The Daily Telegraph . 29 de mayo de 2012. Archivado desde el original el 31 de mayo de 2012. Consultado el 29 de mayo de 2012 .
28. "Recurso 207: La investigación de Kaspersky Lab demuestra que los desarrolladores de Stuxnet y Flame están conectados". Kaspersky Lab. 11 de junio de 2012. Archivado desde el original el 16 de noviembre de 2021. Consultado el 13 de junio de 2012 .
29. Erdbrink, Thomas (29 de mayo de 2012). «Irán confirma ataque de virus que recopila información». The New York Times . Archivado desde el original el 6 de junio de 2012. Consultado el 30 de mayo de 2012 .
30. Tsukayama, Hayley (31 de mayo de 2012). «Según un informe, un ciberarma de fuego fue escrita con código de jugador». The Washington Post . Archivado desde el original el 2 de junio de 2012. Consultado el 31 de mayo de 2012 .
31. Dareini, Ali Akbar; Murphy, Dan; Satter, Raphael; Federman, Josef (30 de mayo de 2012). "Irán: la lucha contra el virus 'Flame' comenzó con un ataque petrolero". Yahoo! Noticias . Associated Press.
32. "Flame: Israel rechaza vínculo con ciberataque de malware". BBC News . 31 de mayo de 2012. Archivado desde el original el 5 de junio de 2014 . Consultado el 3 de junio de 2012 .
33. "Visita Précis: Sir Iain Lobban, KCMG, CB; Director, Government Communications Headquarters (GCHQ) 30 de abril de 2013 – 1 de mayo de 2013" (PDF) . Archivado (PDF) del original el 2 de mayo de 2014. Consultado el 1 de mayo de 2014 .