Il worm Flame segna un fallimento delle società che producono protezione IT per la terza volta in due anni : ad affermarlo è uno dei grandi nomi del settore , Mikko Hypponen, chief research officer di F-Secure. Troppo il tempo per trovare Flame ( noto anche come Flamer o Skywiper) che sta mandando onde di terrore nel settore e viene descritto come uno dei più sofisticati malware mai scritti. Possiede la capacità di rubare informazioni da diverse fonti , comprese macchine fotografiche e smartphone, e molti stanno suggerendo che sia stato creato da qualche servizio segreto con obiettivo l’Iran.

Ma Hypponen segnala che l’aspetto più sconcertante di Flame è che si stava diffondendo da anni. La cosa è stata confermata da Kaspersky che ha segnalato attacchi già nel 2010. Risale al 2007 invece per un centro di ricerca universitario ungherese: dunque almeno cinque anni per il worm Flame. Come ha dichiarato a Techweekeurope.co.uk Hypponen ,” non è la prima volta. Abbiamo mancato Duqu per un lungo periodo di tempo. Abbiamo mancato Stuxnet per almeno due anni. Sembra che le tradizionali tecnologie antivirus non siano in grado di affrontare attacchi molto sofisticati come questo. Gli antimalware funzionano per i problemi medi del medio utente. Ma quando un attaccante ha questi livelli di abilità , denaro e personale, è chiaro che questi attacchi vanno a segno”.

Continua Hypponen: “ Chi deve preoccuparsi di questo – governi , eserciti, chi ha contratti per la difesa – deve sviluppare difese a livelli più profondi. Ciò non toglie che sono molto deluso su come ci siamo comportati. Dobbiamo far meglio. ”

Il 99 per cento degli utenti non deve preoccuparsi , ma tuttavia è un fallimento per il settore della protezione IT. Flame sembra tuttavia più complesso da analizzare degli altri due , Duqu e Stuxnet.

Nelle analisi è impegnato anche il Security Response team di Symantec . In base alle analisi finora condotte il malware è stato creato in modo da ottenere informazioni di sistemi infetti localizzati soprattutto in Medio Oriente. Come per le minacce precedenti, questo codice non è stato scritto da una sola persona, ma da un gruppo organizzato e ben strutturato di persone guidate da specifiche direttive. Il codice include vari riferimenti alla stringa “FLAME” che potrebbe indicare i casi di attacco da varie parti del codice o il nome di sviluppo del progetto. La minaccia ha operato in maniera discreta per oltre due anni con la capacità di rubare documenti, catturare screenshot dal desktop degli utenti, diffondersi tramite chiavette USB, disabilitare i prodotti di sicurezza dei vendor e, in determinate condizioni, diffondersi su altri sistemi. La minaccia potrebbe inoltre avere la capacità di sfruttare varie vulnerabilità di Microsoft Windows conosciute e coperte da patch, in modo da diffondersi attraverso il network. Una telemetria iniziale indica che gli obbiettivi di questa minaccia sono localizzati soprattutto nella zona della Cisgiordania, in Ungheria, Iran e Libano. Tra gli altri obbiettivi la Russia, l’Austria, Hong Kong e gli Emirati Arabi. I settori o l’insieme di individui colpiti sono ancora poco chiari. Sembra si tratti prevalentemente di persone colpite per le proprie attività individuali più che per il loro tipo di impiego. E’ interessante notare, oltre alle specifiche aziende che sono colpite, come numerosi sistemi attaccati sembrino appartenere a personal computer utilizzati da una connessione Internet domestica.

McAfee segnala che anche solo una piccola parte di un modulo codificato è composto di oltre 70 mila linee di codice. Flame pesa 20 MB, circa venti volte Stuxnet che si era infiltrato in Iran.

I contenuti di Techweekeurope.it sono disponibili su Google Currents: iscriviti adesso!