Stuxnet-opvolger Flame schokt securitywereld

Flame (ook wel Flamer en Skywiper genoemd) is tot op heden niet gedetecteerd door securitysoftware. De malware plant uitvoerbare code (binaries) op besmette pc's en gebruikt daarvoor het .ocx-bestandsformaat wat normaliter dienst doet voor Microsofts ActiveX. Veel antiviruspakketten scannen .ocx-bestanden niet. Een uitzondering is de software van McAfee, maar Flame verstopt zichzelf dan in bestanden met de .tmp-extensie, meldt hoofdonderzoeker Mikko Hypponen van securityleverancier F-Secure.

'De securityindustrie faalt'

Hij stelt dat Flame het zoveelste teken is dat de security-industrie, waaronder ook F-Secure zelf, heeft gefaald. Na de complexe en niet gedetecteerde voorgangers Stuxnet en Duqu weet ook Flame de diverse scanningsproducten van verschillende beveiligingsbedrijven te omzeilen. Deze nieuwste supermalware heeft hiervoor diverse geavanceerde mogelijkheden ingebouwd, waaronder de detectie van ruim honderd verschillende securitypakketten.

De hoofdmodule van Flame is zo'n 6 megabyte groot, meldt beveiligingsbedrijf McAfee. De omvang van de volledige malware in actie loopt tegen de 20 MB aan. "Ja, dat is nogal veel code voor malware, maar het is noodzakelijk om de complexe libraries mee te dragen, zoals Zlib, LUA interpreter, support voor SQlite, supportcode voor Custom DB, enzovoorts", aldus de Amerikaanse leverancier in een blogpost.

In de malwarecode bevinden zich ook weer enkele versleutelde codedelen. De software zelf is modulair opgebouwd en kan dan ook worden uitgebreid met verschillende, taak- en doelwitgerichte uitbreidingen. Het is ontworpen om informatie te stelen, onder meer door documenten op te slaan, screenshots te maken van wat er getoond wordt op het pc-beeldscherm, en zelfs gesprekken op te nemen. De malware gebruikt diverse beveiligingsgaten in Windows XP, Vista en 7 om zich via usb-sleutels en lokale netwerken te verspreiden.

In 2007 al opgedoken

Het Hongaarse securitylab CrySyS, van de universiteit te Budapest, heeft Flame uitgebreid geanalyseerd (PDF). Het stelt dat deze malware onderdeel is van een gerichte aanval, die mogelijk al vijf tot acht jaar loopt. Die tijdsinschatting is gebaseerd op de detectie eind 2007 van de bestandsnaam wavesup3.drv. Dat bestand is één van de vele gedaanten, naast bijvoorbeeld msgsecmgr.ocx, van het hoofdcomponent van Flame.

De vermomming als .drv-bestand is op 5 december 2007 waargenomen door beveiligingssoftware Webroot in de regio Europa. Vervolgens is het bewuste bestand op 28 april 2008 gedetecteerd in de Arabische Emiraten, en op 1 maart 2010 in Iran. Daarbij is de bestandsgrootte telkens wisselend geweest.

Nu nog actief

Een exacte bepaling van de leeftijd is lastig, omdat de code van de malware ook is voorzien van vervalste datums, stelt CrySyS en ook McAfee. Analyse van laatstgenoemde wijst uit dat de code in januari en augustus 2011 nog is aangepast. Deze supermalware is dus zeker in het afgelopen jaar actief ingezet door de makers.

Volgens McAfee zijn er op dit moment verschillende varianten van Flame actief. Ook het Russische Kaspersky meldt dat de cyberaanval nog loopt en dat de uitvoerder ervan geïnfecteerde systemen monitort, informatie verzamelt en nieuwe systemen op de korrel neemt.

Westerse cyberaanval

Flame is naar inschatting van beveiligingsexperts het werk van een overheid en dan zeer waarschijnlijk een Westerse mogendheid. De malware heeft namelijk vooral computers in het Midden-Oosten geïnfecteerd; onder meer landen als Iran, Libanon, en Syrië, meldt F-Secure.

Het Iraanse it-beveiligingsorgaan IR-CERT (computer emergency response team) heeft afgelopen weekend de ontdekking van deze Stuxnet- en Duqu-opvolger onthuld (vertaald via Google Translate). Die instantie heeft maanden onderzoek verricht naar deze cyberaanval.

© PXimport

McAfee heeft een eerste besmettingsgolf van Flame in kaart gebracht. Daarbij zijn twee locaties in de Verenigde Staten en drie in de Arabische Emiraten zichtbaar:

Bron: Webwereld.nl