Firma Kaspersky Lab odkrywa program nazwany „miniFlame”. Zaprojektowany przez cyberprzestępców do ściśle określonych operacji szpiegowskich. „SPE” został wykryty w lipcu bieżącego roku, jednak pierwotnie został sklasyfikowany jedynie jako jeden z modułów trojana Flame – uznanego również obecnie za najbardziej rozbudowany szkodliwy program tego typu na świecie.
We wrześniu zespół ekspertów po dokładnej analizie serwerów centrum kontroli Flame’a, doszedł do wniosku, że uważany wtedy za jedynie moduł miniFlame, był współpracującym narzędziem, które można było wykorzystać również jako niezależny szkodliwy program.
Ustalenia:
Funkcjonalność:
Oryginalny wektor infekcji miniFlame’a nie jest jeszcze określony. Zakładając potwierdzony związek pomiędzy miniFlamem, Flamem i Gaussem, miniFlame mógł być instalowany na komputerach zainfekowanych przez Flame’a lub Gaussa. Po zainstalowaniu miniFlame funkcjonuje jako backdoor i umożliwia napastnikom wyciągnięcie z zainfekowanej maszyny dowolnych plików.
Dodatkowe funkcje kradzieży danych zawierają możliwość wykonywania zrzutów ekranu zainfekowanej maszyny podczas pracy z określonymi programami lub aplikacjami, takimi jak: przeglądarki internetowe, aplikacje pakietu Microsoft Office, Adobe Reader, usługa komunikatora internetowego lub klienta FTP. miniFlame przesyła skradzione dane łącząc się ze swoim serwerem kontroli (który może być niezależny lub „współdzielony” z Flamem). Na osobne żądanie operatora do zainfekowanego systemu może zostać dosłany dodatkowy moduł wyspecjalizowany w kradzieży danych, infekujący napędy USB i wykorzystujący je do przechowywania danych, które są pobierane z zainfekowanych komputerów niedysponujących połączeniem internetowym.
Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab, całą sprawę skomentował następująco:
„miniFlame to wysoce precyzyjne narzędzie ataku. Najprawdopodobniej jest to ukierunkowana cyberbroń, wykorzystywana w tym, co możemy określać mianem drugiej fali cyberataku. Najpierw Flame lub Gauss stosowane są do zakażenia tak wielu ofiar, jak to możliwe w celu gromadzenia dużych ilości informacji. Po zebraniu i przejrzeniu danych określana i identyfikowana jest potencjalnie interesująca ofiara, a miniFlame jest instalowany na jej komputerze w celu przeprowadzenia bardziej szczegółowego rekonesansu i cyberszpiegostwa. Wykrycie miniFlame’a dodatkowo utwierdza nas w przekonaniu o kooperacji, jaka istniała (i prawdopodobnie nadal istnieje) pomiędzy twórcami najbardziej znanych szkodliwych programów, wykorzystywanych do cybernetycznych operacji bojowych: Stuxneta, Duqu, Flame’a i Gaussa”.
źródło.Kaspersky Lab