Despercebido por dois anos, ‘Flame’ roubou dados no Oriente Médio
Especialistas de seguranças divulgaram a descoberta de uma nova praga digital “direcionada” – usada contra apenas alguns alvos específicos. Batizado de Flame ouSkywiper, o código é um avançado software de roubo de informações, sendo capaz de capturar teclas, tirar screenshots, monitorar dispositivos Bluetooth e ligar um microfone conectado ao PC para gravar conversas.
O anúncio foi feito separadamente nesta segunda-feira (28) pelas fabricantes de antivírus Kaspersky Lab e McAfee, pelo CERT do Irã (Maher) e pelo Laboratório de Criptografia e Segurança de Sistemas (Crysys) da Universidade de Budapeste de Tecnologia e Economia, na Hungria.
A maior parte dos detalhes técnicos foi fornecido pelo Crysys e pela Kaspersky Lab, com outras informações fornecidas pela McAfee. O vírus é capaz de detectar a presença de 100 softwares de segurança (antivírus, anti-spywares e firewalls), adequando seu comportamento para não acionar nenhum mecanismo de proteção.
Os pesquisadores também destacaram o tamanho do Flame, que pode chegar a 20 MB. A extensão do código cria dificuldades para a análise, que pode levar “anos” para ser completada.
A estrutura da praga é “modular”, ou seja, funciona com “plug-ins”. Cada “plug-in” tem uma função diferente, como a capacidade de se espalhar para outros computadores ou diferentes técnicas de roubo de dados e contato com os servidores de controle. Cada instalação do Flame pode usar um número diferente de plug-ins.
A praga foi encontrada no Oriente Médio, principalmente no Irã e em Israel, segundo a Kaspersky Lab. Mesmo assim, os alvos eram bastante específicos – instituições, empresas e até indivíduos, não sendo possível traçar um objetivo claro para o ataque. A praga, porém, não é programada para se espalhar automaticamente – ela precisa receber um comando explícito do servidor de controle antes de fazê-lo.
A sofisticação do vírus é tal que os laboratórios acreditam que ele só pode ter sido “patrocinado por um governo”, pois não há nenhuma intenção financeira clara para o código.
A Kaspersky descobriu o vírus enquanto investigava outra praga digital, chamada Wiper, capaz de apagar todos os dados de um sistema. O Wiper ainda “é desconhecido”.
Algumas informações sobre o Flame ainda estão desencontradas. Confira algumas diferenças e outros fatos, abaixo:
Fatos sobre o Flame
| Característica | Informações | Fonte |
|---|---|---|
| Nome | Flame | Kaspersky |
| Flamer | Maher (Irã) | |
| Skywiper | McAfee / Crysys | |
| Primeiro uso | Março 2010 ou Agosto de 2010 | Kaspersky |
| 2007 ou 2010 | Crysys | |
| Janeiro de 2011 | McAfee | |
| Servidores de controle | 10 | Maher (Irã) |
| 80 | Kaspersky | |
| Alvos | Oriente Médio | Kaspersky |
| Oriente Médio + Europa | Crysys | |
| Relação com o Stuxnet | Provável | Maher (Irã) |
| Improvável | Kaspersky | |
| Improvável | Crysys | |
| Improvável | McAfee |
Captura de Dados
- Captura de teclas (keylogging)
- Captura de telas (screenshot), ativada somente quando telas “interessantes” estão abertas (e-mails, mensagens instantâneas)
- Monitoramento da rede (sniffing)
- Uso de microfone conectado ao PC
- Monitoramento de dispositivos Bluetooth para coleta de informações e recebimento de instruções
Disseminação
- Método inicial de infecção é desconhecido
- Capaz de infectar dispositivos USB usando a mesma técnica do Stuxnet
- Capaz de se disseminar (possivelmente) para compartilhamentos de rede
Análises
*fonte linha defesiva
Assinar:
Postar comentários
(
Atom
)
Nenhum comentário :
Postar um comentário