Flame – Kaspersky Lab découvre “la plus sophistiquée des cyber-armes”

4
122

Duqu et Stuxnet ont montrés les enjeux de la cyber-guerre qui se déroule au Moyen-Orient. Mais les experts de Kaspersky Lab ont trouvé ce qui pourrait être l’arme la plus sophistiquée : le ver ‘Flame’ conçut pour le cyber-espionnage.

C’est l’ONU qui a lancé l’alerte afin d’étudier une nouvelle menace dont le but semblait être la suppression des informations sensibles à travers le Moyen-Orient. Alors que l’analyse de ce code a commencée – surnommé Wiper – les experts de Kaspersky Lab ont découvert un nouveau malware connu sous le nom de code Worm.Win32.Flame.

Flame a de nombreuses caractéristiques communes avec des cyber-armes notoires telles que Duqu et Stuxnet : la géographie et un ciblage minutieux des attaques couplées avec l’utilisation de vulnérabilités logicielles spécifiques semble le mettre aux côtés de ceux qui sont familiers et actuellement déployés dans le Moyen-Orient par des auteurs inconnus. Flame peut facilement être décrit comme l’une des menaces les plus complexes jamais découvertes. Il est grand, très complet et incroyablement sophistiqué. Il peu presque redéfinir la notion de cyber-guerre et de cyber-espionage…

En quoi consiste exactement Flame ? Un ver ? Une porte dérobée ?

Flame est une boîte à outils d’attaque sophistiquée, ce qui est beaucoup plus complexe que Duqu. Il s’agit d’une porte dérobée, un cheval de Troie, néanmoins, il a les caractéristiques d’un ver, ce qui lui permet de se répliquer dans un réseau local et sur un support amovible si celui que le contrôle lui demande de le faire.

Un PDF complet et détaillé est en ligne ici. Un article technique est disponible sur le site de Sophos.

Le but initial de Flam est inconnu – on pense qu’il est déployé par des attaques ciblées, mais impossible de savoir la manière dont il se propage. “Nous avons quelques soupçons sur l’utilisation possible de la vulnérabilité MS10-033, mais nous ne pouvons pas confirmer cela maintenant“.

Une fois qu’un système est infecté,Flame commence une série complexe d’opérations, y compris celle de renifler le trafic réseau, de réaliser des captures d’écran, d’enregistrer des conversations audio, d’intercepter les touches du clavier, et ainsi de suite. Toutes ces données sont à la disposition des opérateurs à travers le lien entre Flame et ses serveurs de commande et de contrôle.

Dans le futur, les opérateurs peuvent choisir de télécharger des modules complémentaires, qui augmenteraient considérablement les possibilités d’action du malware. Il y a environ 20 modules au total et le but de la plupart d’entre eux est encore à l’étude.

Les commentaires sont fermés.