Flame serait-il le maliciel le plus complexe depuis Stuxnet et Duqu ?
L’équipe de chercheurs du Security Response de Symantec procède à l’analyse d’une menace aussi sophistiquée et discrète que l’étaient Stuxnet et Duqu : W32.Flamer. Cette analyse a jusqu’à présent révélé que le maliciel a été conçu dans le but d’obtenir des informations de la part des systèmes infectés, qui se trouvent principalement au Moyen-Orient. Comme pour Stuxnet et Duqu, le code de cette nouvelle menace n’a pas été écrit par un individu isolé mais par un groupe de spécialistes organisé, financé et dirigé. Le code comporte de multiples références à la chaine « FLAME », ce qui peut donner une indication soit sur les instances d’attaque via différentes parties du code, soit sur le nom du projet de développement du maliciel.
Ce maliciel, particulièrement discret, est en activité depuis au moins 2 ans et a la capacité de voler des documents, faire des copies-écran des utilisateurs de la machine infectée, de se propager via les disques connectés en USB, de désactiver les solutions des éditeurs de sécurité et, sous certaines conditions, se développer sur d’autres systèmes. Cette menace a également la capacité d’utiliser plusieurs vulnérabilités connues et corrigées de Microsoft Windows pour se propager sur un réseau.
Les premières analyses de localisation montrent que Flamer se trouvent principalement en Cisjordanie, en Hongrie, en Iran et au Liban. D’autres cibles se trouvent en Russie, en Autriche, à Hong Kong et aux Emirats Arabes Unis. Les secteurs d’activité des individus ciblés sont pour le moment indéterminés. Cependant, les premières analyses du maliciel montrent que les victimes n’ont pas toutes été ciblées pour la même raison. Nombre d’entre elles semblent être ciblées pour leurs activités personnelles plutôt que pour celles de la société qui les emploie. Il est également intéressant de noter que, au-delà de sociétés spécifiques ciblées, de nombreux systèmes attaqués sont des ordinateurs utilisés à domicile et connectés à Internet.
Win32.Flame également détecté par Kaspersky
Le malware a également été identifié par les experts de Kaspersky Lab au cours d’une enquête déclenchée par l’Union internationale des télécommunications (UIT). Le programme malveillant, détecté sous la dénomination Worm.Win32.Flame par les solutions de sécurité de Kaspersky Lab, est conçu pour se livrer à des activités de cyberespionnage. Il peut ainsi dérober des informations, notamment (mais pas uniquement) celles affichées sur des écrans d’ordinateurs ou concernant les systèmes ciblés, les fichiers stockés, les listes de contacts, voire les conversations audio.
Des études indépendantes ont été lancées par l’UIT et Kaspersky Lab après une série d’incidents relatifs à un autre malware destructeur, encore inconnu (nom de code Wiper), responsable de l’effacement de données dans un certain nombre d’ordinateurs en Asie occidentale. Ce malware spécifique reste à identifier mais, en analysant ces incidents, les experts de Kaspersky Lab, en coordination avec l’UIT, ont rencontré le nouveau type de code malfaisant. Les premiers résultats indiquent que celui-ci se trouve « dans la nature » depuis plus de deux ans, plus précisément depuis mars 2010. En raison de son extrême complexité ainsi que du caractère ciblé de ses attaques, aucun logiciel de sécurité ne l’avait détecté jusque-là.
Bien que ses caractéristiques diffèrent de celles d’autres cyberarmes notoires découvertes précédemment telles que Duqu et Stuxnet, la répartition géographique des attaques, l’utilisation de vulnérabilités particulières dans les logiciels et le fait que seuls certains ordinateurs soient ciblés constituent autant de signes que Flame appartient à cette même catégorie des « super-cyberarmes ».
« Le risque d’une cyberguerre représente l’une des menaces les plus sérieuses dans le domaine de la sécurité informatique depuis plusieurs années déjà. Stuxnet et Duqu faisaient partie d’une même série d’attaques, qui a fait naître les craintes d’un cyberconflit mondial, commente Eugene Kaspersky, CEO et cofondateur de Kaspersky Lab. Le malware Flame paraît correspondre à une autre phase de cette guerre et il faut avoir conscience que de telles cyberarmes peuvent être facilement dirigées contre n’importe quel pays. A la différence des dispositifs d’armements conventionnels, ce sont les nations les plus développées qui sont en fait les plus vulnérables. »
Flame paraît avoir pour principal objectif le cyberespionnage, par le vol d’informations sur les machines infectées. Ces informations sont ensuite transmises à un réseau de serveurs de commande et de contrôle éparpillés à travers le monde. Il peut s’agir aussi bien de documents, de copies d’écrans, d’enregistrements audio que de trafic intercepté, ce qui fait de ce kit d’outils d’attaque l’un des plus évolués et complets jamais découverts. Le vecteur exact d’infection n’est pas encore déterminé mais il est d’ores et déjà clair que Flame a la possibilité de se répliquer via un réseau local par plusieurs méthodes, parmi lesquelles la même vulnérabilité d’imprimante et méthode d’infection USB exploitée par Stuxnet.
Pour Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab, « Les premiers résultats de l’enquête, diligentée à la demande urgente de l’UIT, confirment le caractère extrêmement ciblé de ce programme malveillant. L’un des faits les plus alarmants est que la campagne de cyberattaques Flame est actuellement dans sa phase active et que son instigateur surveille en permanence les systèmes infectés, collectant des informations et visant de nouveaux systèmes afin d’accomplir son mystérieux dessein. »
Les experts de Kaspersky Lab mènent à l’heure actuelle une analyse plus approfondie de Flame. Dans les jours à venir, une série de billets de blog fournira davantage de détails sur la nouvelle menace. Pour ce que l’on en sait, elle se compose de divers modules représentant au total plusieurs mégaoctets de code exécutable, soit une envergure environ 20 fois supérieure à celle de Stuxnet. L’analyse de cette cyberarme va par conséquent mobiliser une importante équipe d’experts chevronnés de la sécurité et de spécialistes de la rétro-ingénierie, s’appuyant sur une vaste expérience de la cyberdéfense.
L’UIT utilisera le réseau UIT-IMPACT, regroupant 142 pays et plusieurs acteurs du secteur, dont Kaspersky Lab, pour alerter les gouvernements et la communauté technique au sujet de cette cybermenace et en accélérer l’analyse technique.
D’autres détails sont disponibles dans le FAQ Flame publié par les chercheurs en sécurité de Kaspersky Lab, sur le site Securelist.com :
http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
Bitdefender lance un outil gratuit pour éradiquer l’arme d’espionnage Flamer
Cet outil de cyber-espionnage, présenté comme l'un des plus sophistiqués au monde peut être supprimé en quelques secondes. Bitdefender lance en effet un outil pour détecter et supprimer cet outil d’espionnage également connu sous le nom de Skywiper et qui peut dérober des données, copier des mots de passe, enregistrer des conversations vocales, créer des captures d’écran et même recueillir des informations sur les appareils Bluetooth situés à proximité de l’ordinateur infecté. Le toolkit, qui aurait déjà engendré des outils d’espionnage tels que Stuxnet et Duqu, peut se diffuser sur des réseaux locaux ou sur des lecteurs amovibles comme des clés USB.
« Flamer est l’outil de cyber-espionnage le plus effrayant que nous ayons vu à ce jour. Il se rend à des endroits dans lesquels les autres spywares ne vont pas, récupère des informations que les autres ne récupèrent pas et accède à toutes les données confidentielles de l’ordinateur » déclare Catalin Cosoi, Responsable des recherches en sécurité chez Bitdefender. « Heureusement, l’outil de désinfection de Bitdefender permet de l’éliminer facilement de votre ordinateur ».
Flamer n’est pas un simple outil d’espionnage, mais plutôt une « boîte à outils » complète sous le contrôle d’attaquants. En termes de taille de fichier, c’est le plus gros outil d’attaque connu à ce jour. En raison de sa taille, il faudra sans doute plusieurs semaines d’analyse aux chercheurs pour découvrir toutes ses fonctions.
Pour savoir si votre ordinateur est infecté par Flamer, téléchargez l’outil de désinfection de Bitdefender à partir du lien suivant : http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/
Les commentaires
Balivernes ! Les virus comme celui là sont créés par les petits génie des services de lutte contre le "cybercriminalité", lesquels sont copains comme cochon avec les éditeurs d'Antivirus. Après coup, un petit coup de publicité, et les vilains pirates payent l'addition. Ne soyez plus des moutons, lisez "Journal d'un hacker", téléchargez le sur votre Ipad ou votre Kindle, et vous saurez comment on se joue de vous.
Par Ylian Estevez le 30/05/2012 à 09:23
Bonjour
une grosse campagne de com'... : http://securiteoff.blogspot.fr/2012/05/annoncee-depuis-plusieurs-semaines-la.html
Que les éditeurs d'antivirus montrent la moindre ligne de code de ce fameux virus !
Par phil le 29/05/2012 à 06:39
