MiniFlame, también conocido como SPE, fue descubierto por los expertos de Kaspersky Lab en julio de 2012, y fue originalmente identificado como un módulo de Flame. Sin embargo, en septiembre de 2012, los investigadores de Kaspersky Lab realizaron un análisis en profundidad de los servidores C&C de Flame y descubrieron que el módulo miniFlame era realmente una herramienta interoperable que puede utilizarse como programa malicioso independiente o simultáneamente como un plug-in para los programas de malware Flame o Gauss.
Los análisis de miniFlame han demostrado que hay varias versiones creadas entre 2010 y 2011, con algunas variantes aún activas. Los análisis también han revelado nuevas evidencias de la cooperación entre los creadores de Flame y Gauss, ya que ambos programas maliciosos pueden usar miniFlame como “plug-in” para sus operaciones.
Principales descubrimientos:
- miniFlame, también conocido como SPE, está basado en la misma plataforma de arquitectura que Flame. Puede funcionar como un programa de ciberespionaje independiente o como un componente de Flame y Gauss.
- La herramienta de ciber espionaje opera como un backdoor diseñado para el robo de datos y el acceso directo a sistemas infectados.
- Es posible que el desarrollo de miniFlame se iniciara en 2007 y continuara hasta finales de 2011. Se supone que se han creado muchas variaciones. A fecha de hoy, Kaspersky Lab ha identificado seis de estas modificaciones, identificando dos generaciones principales: 4.x y 5.x .
- Al contrario que Flame o Gauss, que tienen un gran número de infecciones, la cantidad de infecciones de miniFlame es mucho menor. De acuerdo con los datos de Kaspersky Lab, el número de máquinas infectadas es de 10 a 20. El número total de infecciones en el mundo es de unas 50-60.
- El número de infecciones combinadas con las propiedades de robo da datos de mini-Flame y su diseño flexible indica que ha sido utilizado para operaciones de ciberespionaje con un objetivo concreto, y fue desarrollado principalmente para máquinas que ya están infectadas por Flame y Gauss.
Descubrimiento
El descubrimiento de miniFlame se produjo mediante un análisis en profundidad del malware de Flame y Gauss. En julio de 2012 los expertos de Kaspersky Lab identificaron un módulo adicional de Gauss, con el nombre en clave “John” y encontraron referencias del mismo módulo en los archivos de configuración de Flame. El análisis de los servidores de C&C de Flame de septiembre de 2012 ayudó a desvelar que el recientemente descubierto módulo era, de hecho, un programa malicioso separado, aunque puede ser utilizado como “plug-in” para Gauss y Flame, miniFlame comenzó a utilizar el nombre en clave SPE, en el código de los servidores C&C originales de Flame.
Kaspersky Lab ha descubierto seis variaciones diferentes de miniFlame, todas fechadas entre 2010 y 2011. Al mismo tiempo, el análisis de miniFlame indicó que el desarrollo del malware comenzó aún antes, no más tarde de 2007. La posibilidad de utilizar miniFlame como un plug-in para Flame o Gauss conecta de manera clara con la colaboración entre los equipos de desarrollo de Flame y Gauss. Desde que se descubrió la conexión entre Flame y Stuxnet/Duqu, se puede concluir que todas estas amenazas avanzadas vienen de la misma “fábrica de ciber guerra”.
Funcionalidad
El vector de la infección original de miniFlame aún tiene que determinarse. Dada la relación confirmada entre miniFlame, Flame, y Gauss, miniFlame puede instalarse en los equipos ya infectados por Flame o Gauss. Una vez instalado, miniFlame opera como un backdoor y permite operaciones de malware para obtener cualquier archivo de un equipo infectado.
Capacidades adicionales de robo de datos incluyen la posibilidad de hacer capturas de pantalla de la computadora infectada mientras se está utilizando un programa o una aplicación como un navegador web, un programa de Microsoft Office, Adobe Reader, servicios de mensajería instantánea o un cliente FTP. miniFlame sube todos los datos robados conectándose a su servidor C&C (que puede ser único o “compartido” con el de Flame). Además, a petición desde el operador C&C de miniFlame, un módulo adicional de robo de datos puede enviarse a un sistema infectado, infectar unidades USB y utilizarlos para almacenar datos que ha recogido desde otros equipos sin necesidad de que estos se conecten a internet.
Alexander Gostev, el Experto Jefe en Seguridad de Kaspersky Lab ha comentado: “miniFlame es una herramienta de ataque de gran precisión. Lo más probable es que sea una ciberarma dirigida a lo que podría llamarse una ola secundaria de ciberataque. En principio, Flame o Gauss se utilizan para infectar al mayor número posible de equipos y recoger la mayor cantidad de información. Después de que los datos son recogidos y revisados, se define e identifica un objetivo potencial de víctimas de interés, y miniFlame se instala para una investigación y ciberespionaje en profundidad. El descubrimiento de miniFlame nos ofrece pruebas adicionales de la cooperación entre los creadores de los mayores programas maliciosos utilizados para la ciberguerra: Stuxnet, Duqu, Flame y Gauss”.
Desde Kaspersky Lab, agradecemos a CERT-Bund/BSI por su ayuda con esta investigación.
Se pueden encontrar detalles sobre miniFlame en Securelist.com:
http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_and_his_friends