Alfonso Maruccia

Flame, tra server scomparsi e firme digitali fasulle

Nuovi dettagli sul cyber-spauracchio del momento. Dall'annuncio della sua esistenza molto successo, e il malware si evolve in modo inaspettato. E molto c' ancora da scoprire sulle sue origini

Roma - Flame sempre più sotto i riflettori: il malware programmabile, progettato per carpire ogni genere di informazioni sulle macchine infette e spedirle ai gestori della rete malevola, è già diventato un affare internazionale con il coinvolgimento di Iran e Israele.

E mentre la politica pensa a smentire coinvolgimenti diretti (Gerusalemme) o piuttosto a confermarli (Teheran), Kaspersky e altri security vendor continuano a sezionare il codice malevolo per venire a capo dell'intera operazione. Operazione complessa, dalla struttura modulare e polifunzionale nonché della capacità di acquisire nuove funzionalità con l'aggiornamento da remoto e l'installazione di moduli aggiuntivi.

Lavorando di concerto con OpenDNS e GoDaddy, l'azienda moscovita ha inoltre sollevato i veli sulla struttura dei server di comando&controllo incaricati della gestione dell'infezione, un sistema complesso esattamente come il malware stesso. Le indagini concertate fra provider, gestori di DNS e analisti ha portato alla scoperta di oltre 80 server individuali facenti parte del suddetto sistema di comando&controllo, con nomi di dominio attivi da anni (almeno dal 2008 in poi) registrati da location fasulle (alberghi e simili).
Flame, dice Kaspersky, ha una particolare predilezione per i documenti PDF, Office e AutoCad, e tutti i dati inviati ai server remoti vengono prima cifrati con algoritmi crittografici "relativamente semplici". A ulteriore dimostrazione della sofisticatezza dell'operazione e dell'attenzione posta dai suoi creatori, la struttura di comando&controllo è finita offline non appena le notizie sull'esistenza di Flame si sono diffuse in Rete. Fatto curioso, nonostante sia apparentemente sparito ogni meccanismo di controllo per il malware, i tecnici hanno notizia di aggiornamenti al "kernel" del pacchetto: ci potrebbe insomma essere qualche nuovo meccanismo di update remoto fin qui sfuggito alle analisi, fatto che impone ancora molto lavoro per venire a capo del meccanismo di funzionamento di Flame (di cui, ammettono gli scopritori, non sono stati ancora neppure reperiti tutti i moduli in circolazione).

Kaspersky dice inoltre che usare una versione a 64-bit di Windows 7 è un pre-requisito sufficiente ad avere un PC immune dall'infezione di Flame, ma Microsoft è comunque "colpevole" di aver permesso al malware di diffondersi a causa di certificati di autenticazione compromessi. Certificati che tra l'altro sono stati messi subito in sicurezza con il relativo advisory e aggiornamento su Windows Update.

E sempre Kaspersky offre le informazioni necessarie a verificare manualmente la presenza del malware sul proprio PC Windows, identificando file temporanei e chiavi di registro connesse all'infezione. Le indagini, comunque, fanno sapere che continueranno.

Alfonso Maruccia
Notizie collegate
  • AttualitàFlame? Non batte bandiera israelianaIl governo israeliano smentisce ufficialmente l'idea che dietro la creazione del nuovo, complesso malware spione ci sia Gerusalemme. Il vice-primo ministro stato male interpretato, dicono
8 Commenti alla Notizia Flame, tra server scomparsi e firme digitali fasulle
Ordina
  • Dall'articolo: "...registrati da location fasulle (alberghi e simili)"

    SUITE non sono solo stanze di albergo, ma anche caselle postali.... se sono presso uffici postali USPS, vengono chiamati P.O.Box, se sono presso serivizi di corrispondenza privati, vengono chiamati SUITE.

    Fonte Wikipedia: http://en.wikipedia.org/wiki/Suite_%28address%29
    A suite is the location of a business within a shopping mall or office building. The suite's number also serves as a sort of address within an address for purposes of mail delivery and pickup.

    Suite is written in short hand for postal addresses, "Ste".
    non+autenticato
  • Mi ricorda molto SubSeven, qualcuno lo usava? Si infettava un computer, si riceveva la notifica via email o su un canale irc, da quel momento si aveva il controllo completo del computer della vittima, grazie ai vari moduli di cui subseven disponeva...
    Bei tempi... Occhiolino

    http://en.wikipedia.org/wiki/Sub7

    http://en.wikipedia.org/wiki/Back_orifice
    non+autenticato
  • cacchio quanti ricordiA bocca aperta

    ce n'era un altro pure grandioso e chiamava prorat, era fatto dai turchi

    e mosucker scritto in visual basicA bocca aperta

    waaaaaaahhhhhh voglio ritornare giovaneCon la lingua fuori
    non+autenticato
  • - Scritto da: collione
    > cacchio quanti ricordiA bocca aperta
    >
    > ce n'era un altro pure grandioso e chiamava
    > prorat, era fatto dai
    > turchi
    >
    > e mosucker scritto in visual basicA bocca aperta
    >
    > waaaaaaahhhhhh voglio ritornare giovaneCon la lingua fuori

    Sì però non scherziamo, quei malware per quanto all'epoca fossero discretamente avanzati al giorno d'oggi fanno ridere rispetto ai veri malware fatti da professionisti.

    Comunque ve lo ricordate il Winnuke che crashava Win95 da remoto? A bocca aperta Certo che Win95 era veramente una roba che definire patetica è dire poco. Rotola dal ridere
    non+autenticato
  • E fu così che l'Iran passò dall'arricchimento dell'Uranio, al download delle definizioni antivirus....

    C'è di che pensare a sviluppare il primo SO islamico conforme ai concetti religiosi del corano, scritto direttamente da un pool di imam...
    Il primo SO che si auto-collega in streaming con le webcam della mecca quand'è ora di pregare...
    non+autenticato
  • - Scritto da: TheQ.
    > E fu così che l'Iran passò dall'arricchimento
    > dell'Uranio, al download delle definizioni
    > antivirus....
    >
    > C'è di che pensare a sviluppare il primo SO
    > islamico conforme ai concetti religiosi del
    > corano, scritto direttamente da un pool di
    > imam...
    > Il primo SO che si auto-collega in streaming con
    > le webcam della mecca quand'è ora di
    > pregare...

    Linux è halal, Windows e mac son haramCon la lingua fuori
    Ma se vuoi c'è questoCon la lingua fuori
    http://ubuntusatanic.org/
    Funz
    12988
  • molto da scoprire ma anche molto gia scoperto, quindi quello uno lo dice, o l'informazione e' proprio maffa..
    la cosa e' partita da un attacco informatico degli americani e israele all'iran. E' stato uffcialmente ammesso dagli americani, gli israeliani manco ammettono di avere le bombe atomiche. Quindi potete anche scriverlo e dedurne qualcosa.

    Ora pero saltando fuori questo certificato microsoft viene il dubbio che ci sia anche la sua partecipazione.. e noi qui a far da cavie. bella furbata la guerra informtica, solo gli israeliani potevano convincere gli americani a fare una idiozia simile: per fare una portaerei ci vuole un bel po di potenza, per la guerra informatica gli strumenti li hanno tutti.. e noi in mezzo.
    fargli una causa collettiva per danni?
    non+autenticato
  • - Scritto da: marcello
    > Ora pero saltando fuori questo certificato
    > microsoft viene il dubbio che ci sia anche la sua
    > partecipazione.. e noi qui a far da cavie. bella
    > furbata la guerra informtica, solo gli israeliani
    > potevano convincere gli americani a fare una
    > idiozia simile: per fare una portaerei ci vuole
    > un bel po di potenza, per la guerra informatica
    > gli strumenti li hanno tutti.. e noi in mezzo.
    >
    > fargli una causa collettiva per danni?
    alle portaerei?A bocca aperta
    non+autenticato