L’intento dei criminali informatici che hanno ideato Flame è quello di nascondere rapidamente le proprie tracce evitando che, evidentemente, le investigazioni possano consentire di risalire agli autori dell’aggressione.
Flame il “supervirus” che sembra abbia avuto gioco facile,
addirittura per anni, sui sistemi di agenzie governative ed
organizzazioni del medio oriente, si sta suicidando. La conferma arriva
dagli esperti di Symantec che segnalano come gli autori del
malware stiano trasmettendo del codice capce di “autoneutralizzare” il
virus. L’ordine di rimozione di Flame viene inviato verso i sistemi infetti dai server “command-and-control”
(C&C) ossia le macchine utilizzate dagli autori del malware per
trasmettere indicazioni sulle operazioni da effettuare (compresa la
sottrazione di informazioni personali o dati sensibili).
Symantec descrive il file browse32.ocx come il modulo che gli sviluppatori di Flame
hanno iniziato ad inviare alle macchine già infette per richiedere
l’immediata rimozione del malware. L’intento dei criminali informatici
che hanno ideato Flame è quello di nascondere rapidamente le
proprie tracce evitando che, evidentemente, le investigazioni possano
consentire di risalire agli autori dell’aggressione. “Sanno che adesso sono sotto osservazione“, ha dichiarato Victor Thakur, uno degli esperti di Symantec, riferendosi agli sviluppatori di Flame.
Gerardo Di Giacomo, Security Program Manager del Microsoft Security Response Center, ha evidenziato come alcuni componenti di Flame
siano stati firmati digitalmente facendo in modo che il malware venisse
essere identificato come un software Microsoft. La società di Redmond
ha immediatamente dichiarato come fraudolenti i certificati usati dagli
autori di Flame ed ha rilasciato degli aggiornamenti in modo tale da evitare problemi in futuro.
Di Giacomo ha aggiunto che “chi
ha creato Flame, ha utilizzato un collision attack, in combinazione con
i certificati del Terminal Server Licensing Service, per firmare codice
(malevolo, n.d.r.) (…) Questi certificati danno la possibilità di
firmare codice senza effettuare nessun attacco crittografico, e questa è
una possibilità che può suscitare interesse per eventuali ulteriori
aggressori”. Ecco perché Microsoft ha ritenuto, con l’aggiornamento
presentato in questa pagina di invalidare l’intera gerarchia di certificati digitali appartenente al sistema di licenze di Terminal Server. “Non
ci siamo limitati a bloccare i certificati non autorizzati utilizzati
da Flame, ma tutti quelli appartenenti a questa gerarchia“, ha
precisato Di Giacomo. Contemporaneamente, la società di Redmond sta
provvedendo ad aggiornare sia Windows Update che Windows Server Update
Services (WSUS).
[…] che ha consentito ai suoi amministratori, poco tempo dopo la sua scoperta, di inviare un apposito comando di auto-distruzione per provocare la cancellazione del worm da tutti i sistemi infetti tuttora contattabili via […]