Flame — najbardziej zaawansowany, modułowy robak-szpieg na świecie

Jeszcze niedawno świat musiał zmierzyć się z wykradającym tajemnice technologiczne robakiem Duqu. Jednak zaawansowanie tamtego robaka blednie przy odkrytym przez Kaspersky Lab Flame (Worm.Win32.Flame). Flame ma wiele cech wspólnych z Duqu i Stuxnetem, ale został okrzyknięty najbardziej zaawansowanym robakiem, jakiego dotąd widział świat. Alexander Gostev na blogu Kaspersky Lab posunął się nawet do stwierdzenia, że Flame zmienia definicje cyberwojny i cyberszpiegostwa.

Co go odróżnia od innych? Zazwyczaj wirusy są małe, a Flame to ważąca prawie 20 MB paczka modułów, w której znajduje się nawet maszyna wirtualna dla języka skryptowego Lua i biblioteki umożliwiające kompresję (zlib, libbz2) i operacje na bazach danych. Logika na wysokim poziomie napisana została w Lua (ponad 3 tysiące linii kodu, czyli około miesiąca pracy jednego dewelopera), moduły w C, a do tego dochodzą zagnieżdżone zapytania SQL, kompresja, szyfrowanie, skrypty Windows Management Instrumentation i wiele innych. Analiza jest bardzo trudna, gdyż istota działania Flame jest ukrywana przez skomplikowany kod. Eksperci nie są również w stanie określić kiedy został stworzony robak, ale prawdopodobnie atakuje maszyny na Bliskim Wschodzie już od marca 2010.

Flame jest nie tylko większy, niż współczesne robaki — ma też dużo większe możliwości. Robak jest przeznaczony do wykradania danych i robi to na wiele wymyślnych sposobów. Potrafi bez wiedzy użytkownika nagrywać dźwięk z mikrofonu oraz zbiera informacje o znajdujących się w pobliżu urządzeniach Bluetooth, a w szczególnych przypadkach może rozsyłać zakodowane informacje o sobie. Kiedy uruchomione są „interesujące” aplikacje, Flame może oczywiście regularnie robić zrzuty ekranu. Zebrane dane robak regularnie wysyła ukrytym, szyfrowanym (SSL) połączeniem, którego Kaspersky Lab jeszcze nie przeanalizował. Co więcej, Flame rozprzestrzenia się na wiele sposobów — można się nim zarazić przez stronę, e-mail, za pośrednictwem dysku zewnętrznego, lub złapać go z sieci lokalnej.

Flame znaleziono w Iranie, Izraelu, Sudanie i kilku innych krajach. Nie wiadomo kto za nim stoi ani czego dokładnie szuka robak, choć Kaspersky Lab sugeruje, że działa on na usługach któregoś z rządów. Na razie eksperci stwierdzili jedynie, że zbiera on dokumenty, korespondencję czy rozmowy z różnych miejsc, ale bez specjalnych preferencji — atakuje tak samo osoby prywatne i instytucje rządowe. Jednak ze względu na swoją budowę za każdym razem ma inne wtyczki i nic nie stoi na przeszkodzie, żeby w pewnym momencie dołączono do niego inne, niż szpiegujące moduły. Kaspersky przewiduje, że na całym świecie są tysiące zainfekowanych maszyn.