L’esemplare scoperto alcuni mesi fa ed immediatamente correlato al precedente Stuxnet potrebbe essere solamente uno dei quattro malware ad essere stati concepiti dal medesimo team di sviluppo.
Vi ricordate Flame, il sofisticato malware
appositamente studiato per sottrarre informazioni segrete memorizzate
sui sistemi di organizzazioni governative?
La minaccia torna a far parlare di sé.
Dopo
una più approfondita analisi sul comportamento di Flame, si è stabilito
che l’esemplare scoperto alcuni mesi fa ed immediatamente correlato al
precedente Stuxnet
potrebbe essere solamente uno dei quattro malware ad essere stati
concepiti dal medesimo team di sviluppo (la cui identità è ad oggi
sconosciuta).
L’ultima ricerca, frutto della collaborazione tra Symantec, Kaspersky, il team dell’ITU (International Telecommunication Union)
che si occupa di sicurezza informatica (IMPACT) ed il centro
anticrimine informatico tedesco, ha messo in evidenza come Flame possa
essere stato messo a punto addirittura sei anni fa, nel 2006, ben prima
di quanto si è ritenuto sino ad oggi.
La struttura del meccanismo “command-and-control”
(l’architettura client-server che consente agli aggressori di comandare
a distanza le varie istanze del malware impartendo, di volta in volta,
precise istruzioni sulle operazioni da svolgere sui sistemi infetti)
utilizzato da Flame, infatti, lascia presagire l’esistenza di tre
ulteriori varianti del malware che sino ad oggi non sono mai state
esaminate dai ricercatori e le cui caratteristiche non sono note.
Alcuni
indizi farebbero ritenere che tali nuovi esemplari di Flame potrebbero
essere attualmente in fase di sviluppo oppure ancora non effettivamente
abilitati.
Flame, lo ricordiamo, è una sorta di “coltellino
svizzero” per lo spionaggio telematico: il malware, infatti, integra una
serie di strumenti per la sottrazione delle informazioni inserite nei
moduli online, la raccolta di password e di altri dati personali, la
registrazione delle conversazioni audio e delle schermate video. Secondo
diversi ricercatori, Flame potrebbe aver giocato un ruolo chiave nel
fare da apripista alle infezioni da Stuxnet, malware che è stato
impiegato per alterare il funzionamento di grandi complessi industriali
d’importanza strategica (i.e. strumenti per il controllo industriale dei
siti di raffirazione dell’uranio in Iran).
Ciò che ha sorpreso i
ricercatori di Kaspersky è la presenza, nel codice di Flame, degli
pseudonimi di coloro che sembrano i quattro autori del malware. Uno dei
programmatori, spiegano i tecnici di Kaspersky, sembra il responsabile
del progetto mentre un altro individuo l’esperto di crittografia
avanzata.
Sebbene, secondo le stime, Flame possa aver sottratto circa
5,5 GB di dati compressi in appena una settimana di attività, pare
proprio – per ragioni al momento non ben chiare – che gli sviluppatori
del malware non siano più riusciti ad accedere ad uno dei server di
appoggio utilizzati per la memorizzazione dei dati trafugati. Secondo
gli esperti, inoltre, gli autori di Flame avrebbero commesso un secondo
errore: si sarebbero dimenticati di cancellare i file di log nei quali è
annotato il numero di computer infetti e gli IP interessati. Durante
una sola settimana, a cavallo fra la fine di marzo e l’inizio di aprile,
il log presentava più di 3.700 IP iraniani e 1.280 indirizzi sudanesi. “Le
nostre precedenti statistiche non evidenziavano un così elevato numero
di infezioni anche in Sudan. Ne consegue che devono esserci state due
differenti campagne in Iran ed in Sudan“, si osserva da Kaspersky.
