Diagrama de ataque de Flame (tomado de artículo de Kaspersky)

La empresa Kaspersky encontró lo que parece ser un nuevo malware llamado Flame, completamente distinto a todo lo que se conoce hasta ahora y al que llaman “el arma cibernética más compleja jamás liberada.” (hey, son una empresa que fabrica un antivirus, que querían que dijeran). Tristemente, Flame al parecer tiene exclusividad para Windows.Este malware Flame tiene varias características en común con los anteriores Duqu y Stuxnet, este último que se usó para sabotear controles industriales ligados al controversial programa nuclear de Irán; al igual que estos dos últimos, se cree que Flame forma parte de las guerras cibernéticas que se libran en Oriente Medio. Pero vamos de regreso a Flame: la complejidad de este viene debido a varias características que tiene, como por ejemplo el hecho de que es un conjunto de herramientas (es modular), donde cada herramienta tiene una tarea en particular, llámese husmear en el tráfico de la red, capturar pantallas, grabar conversaciones desde el micrófono de la computadora comprometida, interceptar el teclado y muchos otros más: toda esta información queda a disposición de varios servidores de los atacantes, los cuales si lo desean pueden integrar más módulos para hacer más eficiente a Flame; de acuerdo con Kaspersky, hay unos 20 módulos identificados, aunque se desconoce el propósito de todos.

Otra característica atípica de Flame es su gran tamaño: los componentes de Flame pueden llegar a sumar 20 MB entre ellos, y tan solo uno tiene tamaño de 6 MB. También hace uso de una máquina virtual de Lua, un lenguaje que es una extraña opción para este tipo de malware. Y también usa bases de datos locales cortesía de SQLite, con varias consultas empotradas directamente en el software, así como diversos métodos de encriptación, algoritmos de compresión, manipulación a través de scripts de Windows Management Instrumentation (WMI), manipulación del micrófono, uso de dispositivos BlueTooth (incluso como balizas o un punto de distribución, y muchas otras joyas.

¿Qué es lo que hace Flame?

Básicamente, robar información a través de muchos canales: graba audio y lo almacena en formato comprimido, tiene la habilidad de capturar pantallas, incluso captura pantallas de aplicaciones “interesantes” como mensajeros instantáneos. Toda esta información se envía a los servidores de los atacantes a través de canales SSL. Cabe aclarar que todo esto es preliminar y aún se está analizando…lo cual por cierto puede tardar algo: Kaspersky tardó meses en analizar el código de Stuxnet, y sólo eran 500 KB.

¿Cómo infecta computadoras Flame?

De acuerdo con Kaspersky, de dos maneras: es capaz de infectar unidades USB a través el archivo “autorun.inf”, y otro método más al que identifican como “euphoria”. Adicionalmente puede infectar a través de una red local usando una vulnerabilidad conocida (MS10-061), usando tareas remotas y por último atacando a un usuario con permisos administrativos del controlador de dominios.

¿Tiene otros nombres Flame?

De acuerdo con una actualización de Kaspersky, Flame es el mismo que “SkyWiper” (como lo llaman en CrySys Lab), y que “Flamer” (como lo llaman en el Maher CERT Group de Irán).

¿Deberías preocuparte por Flame?

Por ahora los ataques están concentrados en Oriente Medio en países como Irán, Israel, Sudán, Siria, Líbano, Arabia Saudita y Egipto, aunque empresas como Symantec dicen que han visto infecciones en Hungría, Austria, Rusia, Hong Kong y los Emiratos Árabes, así que por estos lares, al menos por ahora, estamos seguros. Aún no se sabe tras de que anda Flame, porque al parecer no es selectivo pues ha infectado a gobiernos, instituciones educativas y a particulares por igual.

Como puedes ver, todo lo que se sabe de Flame aún es preliminar, y queda mucho por analizar, por lo cual les recomiendo estén pendientes de este tema, seguro habrá más dentro de poco.