Flame sempre più sotto i riflettori: il malware programmabile, progettato per carpire ogni genere di informazioni sulle macchine infette e spedirle ai gestori della rete malevola, è già diventato un affare internazionale con il coinvolgimento di Iran e Israele .
E mentre la politica pensa a smentire coinvolgimenti diretti (Gerusalemme) o piuttosto a confermarli (Teheran), Kaspersky e altri security vendor continuano a sezionare il codice malevolo per venire a capo dell’intera operazione. Operazione complessa, dalla struttura modulare e polifunzionale nonché della capacità di acquisire nuove funzionalità con l’aggiornamento da remoto e l’installazione di moduli aggiuntivi.
Lavorando di concerto con OpenDNS e GoDaddy, l’azienda moscovita ha inoltre sollevato i veli sulla struttura dei server di comando&controllo incaricati della gestione dell’infezione, un sistema complesso esattamente come il malware stesso. Le indagini concertate fra provider, gestori di DNS e analisti ha portato alla scoperta di oltre 80 server individuali facenti parte del suddetto sistema di comando&controllo, con nomi di dominio attivi da anni (almeno dal 2008 in poi) registrati da location fasulle (alberghi e simili).
Flame, dice Kaspersky, ha una particolare predilezione per i documenti PDF, Office e AutoCad, e tutti i dati inviati ai server remoti vengono prima cifrati con algoritmi crittografici “relativamente semplici”. A ulteriore dimostrazione della sofisticatezza dell’operazione e dell’attenzione posta dai suoi creatori, la struttura di comando&controllo è finita offline non appena le notizie sull’esistenza di Flame si sono diffuse in Rete. Fatto curioso, nonostante sia apparentemente sparito ogni meccanismo di controllo per il malware, i tecnici hanno notizia di aggiornamenti al “kernel” del pacchetto: ci potrebbe insomma essere qualche nuovo meccanismo di update remoto fin qui sfuggito alle analisi, fatto che impone ancora molto lavoro per venire a capo del meccanismo di funzionamento di Flame (di cui, ammettono gli scopritori, non sono stati ancora neppure reperiti tutti i moduli in circolazione).
Kaspersky dice inoltre che usare una versione a 64-bit di Windows 7 è un pre-requisito sufficiente ad avere un PC immune dall’infezione di Flame, ma Microsoft è comunque “colpevole” di aver permesso al malware di diffondersi a causa di certificati di autenticazione compromessi . Certificati che tra l’altro sono stati messi subito in sicurezza con il relativo advisory e aggiornamento su Windows Update.
E sempre Kaspersky offre le informazioni necessarie a verificare manualmente la presenza del malware sul proprio PC Windows, identificando file temporanei e chiavi di registro connesse all’infezione. Le indagini, comunque, fanno sapere che continueranno.
Alfonso Maruccia
Ti potrebbe interessare
5 giu 2012