Esta semana ha sido destapado un “nuevo” malware (echando un vistazo a la base de datos de nuestra Inteligencia Colectiva puedo confirmar que algunos de los ficheros de este ataque datan al menos de abril de 2011) que podría estar relacionado con un caso de ciberespionaje (es detactado como W32/Flamer.A.worm). Ha infectado ordenadores en países de oriente medio (Irán, Israel, Siria, etc.) y su objetivo es el robo de información.

El CERT de Irán ha publicado información sobre este ataque aquí y nuestros colegas de Kaspersky lo han estado investigando durante un tiempo y han publicado un buen artículo con preguntas y respuestas sobre el caso aquí.

Normalmente los ataques dirigidos se llevan a cabo con troyanos, sin embargo en esta ocasión podemos ver que estamos hablando de un gusano. Los gusanos se autoreplican, por lo que en un momento dado el creador / propietario del gusano no puede controlar a quién está infectando o dónde, y cuando tienes unos objetivos específicos quieres permanecer por debajo de la señal del radar para evitar ser descubierto. ¿Cómo ha solucionado Flame este inconveniente? Aunque es un gusano, sus mecanismos de infección están desactivados. Parece que quien está detrás de este ataque puede activar esta característica cuando lo necesite, una estrategia inteligente cuando quieres pasar desapercibido.

¿Qué información puede robar Flame? ¿Busca los más escondidos secretos que ningún otro malwere es capaz de robar? La respuesta es no, aún no hemos visto una sola característica original, que no conozcamos de otras muestras de malware. Sin embargo puede robar información de múltiples formas al mismo tiempo, y tiene una serie de módulos que dan a  Flame la capacidad de robar todo tipo de información de su objetivo, incluso puede encender el micrófono para grabar cualquier conversación que esté manteniéndose cerca del ordenador.

Me gustaría citar esta pregunta y respuesta del artículo de nuestros amigos de Kaspersky:

Is this a nation-state sponsored attack or is it being carried out by another group such as cyber criminals or hacktivisits?
Currently there are three known classes of players who develop malware and spyware: hacktivists, cybercriminals and nation states. Flame is not designed to steal money from bank accounts. It is also different from rather simple hack tools and malware used by the hacktivists. So by excluding cybercriminals and hacktivists, we come to conclusion that it most likely belongs to the third group. In addition, the geography of the targets (certain states are in the Middle East) and also the complexity of the threat leaves no doubt about it being a nation state that sponsored the research that went into it.

Lo primero que quiero decir es que efectivamente parece que se trata de un ataque que podría estar patrocinado o directamente ejecutado por algún gobierno. Sin embargo, la explicación dada para llegar a dicha conclusión es errónea: como no roba dinero de cuentas bancarias y no es una herramienta de hacking, debe ser un ataque lanzado por algún país. Seguro. Siguiendo ese razonamiento podríamos afirmar que “I Love You” fue también un ataque realizado por algún país.

Flame está diseñado para robar información de muy diferentes formas, está controlado a través de diferentes servidores y ha sido desarrollado y utilizado de una forma muy diferente a lo que estamos acostumbrados a ver en casos de ciberdelincuencia. Puede propagarse pero únicamente cuando la gente que está detrás de Flame quiere, y sólo ha sido visto en un pequeño número de países en una región con multitud de intereses políticos y económicos.