Firma Kaspersky Lab odkrywa program nazwany „miniFlame”. Zaprojektowany przez cyberprzestępców do ściśle określonych operacji szpiegowskich. „SPE” został wykryty w lipcu bieżącego roku, jednak pierwotnie został sklasyfikowany jedynie jako jeden z modułów trojana Flame – uznanego również obecnie za najbardziej rozbudowany szkodliwy program tego typu na świecie.

We wrześniu zespół ekspertów po dokładnej analizie serwerów centrum kontroli Flame’a, doszedł do wniosku, że uważany wtedy za jedynie moduł miniFlame, był współpracującym narzędziem, które można było wykorzystać również jako niezależny szkodliwy program.

Ustalenia:

  • miniFlame, może działać jako niezależny program szpiegowski lub część wewnętrzna Flame’a i Gaussa. Oparty jest na tej samej platformie co Flame.
  • Głównym zadaniem miniFlame jest kradzież danych i uzyskiwanie bezpośredniego dostępu do zainfekowanego systemu.
  • Projekt miniFlame rozpoczął się w 2007r. i trwał do końca 2011. Na chwilę obecną uważa się, że powstało wiele odmian z czego udało się zidentyfikować około 6 wariantów tego szkodliwego programu.
  • Z analizy ekspertów wynika, że w odróżnieniu od Flame’a i Gaussa, których liczba infekcji była bardzo duża, to mimiFlame’a zaraził stosunkowo niewiele maszyn. Całkowita liczba stwierdzonych infekcji szacowana jest między 50-60 komputerów.Wywnioskować można z tego iż, zadaniem miniFlame’a jest infekcja ściśle określonych celów.


    • Funkcjonalność:

    Oryginalny wektor infekcji miniFlame’a nie jest jeszcze określony. Zakładając potwierdzony związek pomiędzy miniFlamem, Flamem i Gaussem, miniFlame mógł być instalowany na komputerach zainfekowanych przez Flame’a lub Gaussa. Po zainstalowaniu miniFlame funkcjonuje jako backdoor i umożliwia napastnikom wyciągnięcie z zainfekowanej maszyny dowolnych plików.

    Dodatkowe funkcje kradzieży danych zawierają możliwość wykonywania zrzutów ekranu zainfekowanej maszyny podczas pracy z określonymi programami lub aplikacjami, takimi jak: przeglądarki internetowe, aplikacje pakietu Microsoft Office, Adobe Reader, usługa komunikatora internetowego lub klienta FTP. miniFlame przesyła skradzione dane łącząc się ze swoim serwerem kontroli (który może być niezależny lub „współdzielony” z Flamem). Na osobne żądanie operatora do zainfekowanego systemu może zostać dosłany dodatkowy moduł wyspecjalizowany w kradzieży danych, infekujący napędy USB i wykorzystujący je do przechowywania danych, które są pobierane z zainfekowanych komputerów niedysponujących połączeniem internetowym.

    Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab, całą sprawę skomentował następująco:

    „miniFlame to wysoce precyzyjne narzędzie ataku. Najprawdopodobniej jest to ukierunkowana cyberbroń, wykorzystywana w tym, co możemy określać mianem drugiej fali cyberataku. Najpierw Flame lub Gauss stosowane są do zakażenia tak wielu ofiar, jak to możliwe w celu gromadzenia dużych ilości informacji. Po zebraniu i przejrzeniu danych określana i identyfikowana jest potencjalnie interesująca ofiara, a miniFlame jest instalowany na jej komputerze w celu przeprowadzenia bardziej szczegółowego rekonesansu i cyberszpiegostwa. Wykrycie miniFlame’a dodatkowo utwierdza nas w przekonaniu o kooperacji, jaka istniała (i prawdopodobnie nadal istnieje) pomiędzy twórcami najbardziej znanych szkodliwych programów, wykorzystywanych do cybernetycznych operacji bojowych: Stuxneta, Duqu, Flame’a i Gaussa”.

    źródło.Kaspersky Lab