Flame, opvolger van Stuxnet

Het infame Stuxnet lijkt een veel grotere en complexere nazaat te hebben in Flame, die niet saboteert maar spioneert, wellicht al jarenlang. Een paar jaar geleden baarde Stuxnet groot opzien door heel gericht industriële systemen aan te vallen en te saboteren. Slachtoffer was Iran, waar gascentrifuges voor de verrijking van uranium werden gesaboteerd. Stuxnet zorgde voor heel wat speculaties omdat het bijzonder gesofisticeerd was, wat vermoedens opriep dat deze malware een wapen was dat door een overheid van een land was gebouwd. Later kwam daar ook nog DuQu bij, een ander stuk malware dat wordt verdacht van aanvallen op industriële installaties.

Het infame Stuxnet lijkt een veel grotere en complexere nazaat te hebben in Flame, die niet saboteert maar spioneert, wellicht al jarenlang.

Een paar jaar geleden baarde Stuxnet groot opzien door heel gericht industriële systemen aan te vallen en te saboteren. Slachtoffer was Iran, waar gascentrifuges voor de verrijking van uranium werden gesaboteerd. Stuxnet zorgde voor heel wat speculaties omdat het bijzonder gesofisticeerd was, wat vermoedens opriep dat deze malware een wapen was dat door een overheid van een land was gebouwd. Later kwam daar ook nog DuQu bij, een ander stuk malware dat wordt verdacht van aanvallen op industriële installaties.

De Russische securityspecialist Kaspersky Lab meldt nu het bestaan van een nieuwe malware, door hen aangeduid als Worm.Win32.Flame. Die werd ontdekt in het kader van een ander onderzoek, op vraag en in samenwerking met de Internationale Telecom Unie (ITU), naar een ander stuk malware, aangeduid als ‘Wiper’. Flame wordt omschreven als een bijzonder grote (ca. 20MB) en complexe (ca. 20 modules) ‘attack toolkit’ met kenmerken van zowel een Trojaan, een backdoor en een worm. De malware kan zich zowel doorheen netwerken als via mobiele opslagmedia verspreiden.

In tegenstelling tot Stuxnet (en DuQu) werkt Flame als een spionagesysteem, dat zowel netwerkverkeer bestudeert, screenshots maakt, gesprekken opslaat, toetsenborden scant en dies meer, aldus Kasperky Lab. De onderzoekers menen dat de malware al sinds begin 2010 actief is en nog steeds wordt bijgewerkt. Wellicht zijn ook voordien al versies in omloop gebracht. Op basis van de activiteit van de malware, meent Kasperky Lab voorts dat het hier om malware door of in opdracht van een overheid gaat. Momenteel blijken systemen in een zevental landen te zijn aangevallen: Iran, Israel, Soedan, Syrië, Libanon, Saoedi Arabië en Egypte.

Door de Iraanse CERT werd dan ook een waarschuwing uitgestuurd, waar die malware wordt aangeduid als ‘Flamer’ (maar als ‘Flame’ in een latere versie van de boodschap). Aan de University of Technology and Economics in Budapest werd door het CrySys lab van het departement ‘telecommunicatie’ een analyse uitgevoerd van deze Flamer malware, aangeduid als sKyWIper.

Het grote probleem met de Flame blijkt de complexiteit te zijn, waardoor heel wat verschillende functies kunnen worden uitgevoerd. De analyse zal door de omvang van de malware ook nog een hele poos duren. Ondertussen wordt gevreesd dat de malware al een hele poos actief is, waardoor al heel wat informatie kon worden geoogst.

Al vorig jaar werd het bestaan bevroed van Stuxnet en DuQu nazaten, eveneens volgens Kaspersky Lab, maar van het toen bestudeerde ‘Tilded’ platform zou geen gebruik zijn gemaakt door Flame. Eugene Kasperski , het hoofd van Kaspersky Lab waarschuwt al lang voor de proliferatie van Stuxnet-achtige malware, en de bijzondere gevaren voor de kritieke nationale infrastructuur. Hij riep al eerder op tot een soort anti-aanvalspact tussen landen wat het gebruik ‘cyberwapens’ betreft.

Voor wie een en ander zelf wil nalezen bieden we de volgende links:
– Het bericht van Kasperky Lab en Kaspersky’s FAQ op Securelist.

– Het bericht van het Iraanse CERT (Computer Emergency Response team)

– De studie van het Hongaarse CrySys lab