Israël ook besmet

Flame (ook wel Skywiper en Flamer genoemd) is vooral actief in het Midden-Oosten. Het is nu waargenomen in landen als Iran, Syrië en de Arabische Emiraten. Velen kwamen tot de conclusie dat Israël wel eens achter deze malware kan zitten, net zoals dat land ook is verdacht van de kernprogramma-saboterende Stuxnet-malware.

Besmettingen van Flame zijn echter ook gedetecteerd in Israël en aan de Westkust van de Verenigde Staten. Bij Israël wordt overigens ook Palestina meegeteld in de metingen door de Russische securityleverancier Kaspersky. Opvallend genoeg is een eerste besmettingsgolf, die achteraf in kaart is gebracht door het Amerikaanse McAfee, alleen zichtbaar in de Arabische Emiraten en de VS.

Iran is met voorsprong het meest besmet door Flame, maar Israël is tweede: Klik voor groot

Over het algemeen proberen aanvallers hun aanwezigheid te verhullen door ook locaties te infecteren die niet zijn gerelateerd aan hun hoofddoelen, merkt McAfee nog op. Daarmee kunnen ze hun identiteit verder verbergen, maar ook die besmette locaties weer benutten als command&control-servers.

Ontdekt via andere malware

Het Iraanse it-beveiligingsorgaan IR-CERT (Computer Emergency Response Team) heeft het bestaan van Flame afgelopen weekend onthuld. De Iraanse security-experts doen er al maanden onderzoek naar. Er blijkt in die tijd ook buiten Iran onderzoek te zijn gedaan naar deze supermalware. Door het Russische securitbedrijf Kaspersky dat op Flame is gestuit via een heel ander exemplaar van gerichte malware.

Kaspersky meldt dat het in opdracht van de International Telecomunication Union (ITU) onderzoek deed naar een stuk malware dat gericht bestanden wist. Dit zogeheten Wiper houdt huis in West-Aziatische landen en is zelf nog niet opgespoord. Analyse van die malware is dus nog niet mogelijk. Tijdens de speurtocht naar Wiper is Kaspersky gestuit op een nieuw soort malware: Flame.

Complex én groot

Malware vormt al jaren de 'state of the art' in de software-industrie. Wormen, Trojans en virussen gebruiken allang modulaire opbouw, dynamische updates, cloud computing, geavanceerde detectie, autonome aanpassing aan hun omgeving, en andere moderne middelen. Flame doet dit ook en legt de lat gelijk een stuk hoger.

De hoofdmodule van deze supermalware is zelf al zo'n 6 megabyte groot. Daar komen dan nog de aanvullende modules bij. Een van de kleinste, versleutelde modules is meer dan 70.000 regels aan gedecompileerde C-code, blogt McAfee. Volgens dat beveiligingsbedrijf is de omvang van de volledige malware in actie zo'n 20 MB. Dat is veel voor malware, maar niet heel veel voor wat datadief Flame allemaal in zijn arsenaal heeft.

Op pagina 2 meer verrassingen van 'Zwitsers zakmes' Flame.

Ruim arsenaal

Deze 007 onder de spyware heeft flink wat mogelijkheden ingebouwd. Niet alleen wat het infecteren van doelcomputers betreft, maar ook voor het ongezien blijven én voor het vervolgens stelen van kostbare data. Een kleine opsomming van het ruime arsenaal:

Flame heeft eigen compressie-mogelijkheden voor de buitgemaakte data, een ingebouwde SQlite-database om de gestolen informatie in op te slaan, verschillende encryptiemethodes ook voor eigen codedelen, en detectie van meer dan 100 securityproducten (waaronder naast antivirus en antispyware ook firewalls), en een op maat gemaakte database voor de aanvalsmodules om binnen te komen op Windows-computers.

Natuurlijk heeft Flame ook 'ordinaire' malwaremiddelen aan boord. Voor het scannen van netwerken, voor zelfverspreiding via lokale netwerken en usb-sticks, voor het stelen van specifieke informatie, en voor aansturing via beveiligde (en dus moeilijk te analyseren) verbindingen (ssh en https).

Daarnaast heeft de supermalware nog enkele vermeldenswaardige mogelijkheden. Het kan ingebouwde microfoons van pc's activeren om gesprekken op te nemen. Het kan screenshots maken van wat er op een besmette pc op het beeldscherm wordt getoond. Die screenshots zijn op een timer te maken, maar ook specifiek bij gebruik van bepaalde applicaties zoals chatprogramma's. Tot slot kan Flame ook Bluetooth benutten: om informatie over nabije apparaten zoals mobiele telefoons te verzamelen, en ook om een besmette computer via Bluetooth te laten uitzenden.

Niet uit Stuxnet- en Duqu-stal

Flame is van een zwaarder kaliber maar wel een cyberwapen à la Stuxnet en Duqu. Het is echter niet afkomstig van dezelfde wapensmid. Stuxnet en het later ontdekte Duqu vertonen grote overeenkomsten en komen volgens experts zelfs uit dezelfde stal. Het gebeurt wel dat verschillende stukken malware functies of zelfs code van elkaar lenen - al dan niet met toestemming van de oorspronkelijke maker - maar de twee Flame-voorgangers delen meer dan de helft van hun code met elkaar.

Zo niet Flame, dat volgens analyse van nu wakker geschrokken security-experts een hele andere codebasis en implementatie heeft. McAfee bestempelt de superspyware als compleet anders, veel complexer en robuuster in de opbouw. Het Hongaarse securitylab CrySyS, van de universiteit te Budapest, heeft een uitgebreide analyse uitgevoerd, die toch nog slechts een voorlopig, eerste onderzoek is. Flame is ongelofelijk complex, concluderen security-onderzoekers stuk voor stuk.

Al jaren operationeel

Malware en 0-day beveiligingsgaten kunnen soms langere tijd bestaan voordat ze worden ontdekt, geopenbaard en gefixt. Flame stijgt ook hier ver boven de massa uit: de supermalware waart al jaren rond. Kaspersky houdt het enigszins voorzichtig bij 'zeker sinds maart 2010', als eerste - achteraf bevestigde - tijdstip van een Flame-besmetting. Securitylab CrySyS stelt echter dat de supermalware al zeker vijf jaar en misschien wel acht jaar rondwaart.

Al die tijd is deze complexe en grote malware niet ontdekt. Noch door antiviruspakketten, noch door firewalls of inbraakdetectiesystemen (IDS). Toch is Flame volgens McAfee meer verspreid dan Duqu, met een vergelijkbaar groot aantal varianten. Ook McAfee schat de eerste infecties in op “meerdere jaren geleden".

Persoonlijk gericht

In tegenstelling tot Stuxnet is Flame veel minder duidelijk gericht. De supermalware is ook opgedoken op pc's van burgers, in veel verschillende landen. De Amerikaanse beveiligingsleverancier Symantec meldt besmettingen in Palestina (de West Bank), Hongarije, Iran en Libanon, maar ook in Rusland, Oostenrijk, Hong Kong en de Verenigde Arabische Emiraten.

Het is volgens Symantec nog onduidelijk welk patroon er zit in de besmette computers: in welke industriesectoren of bij welke bedrijven of organisaties er infecties zijn. Voorlopig bewijs toont echter aan dat de slachtoffers niet allemaal om dezelfde reden op de korrel zijn genomen, schrijft de Britse ict-nieuwssite The Register op uit analyse van Symantec.

Het lijkt erop dat veel van de besmettingen zijn gericht op mensen vanwege hun persoonlijke activiteiten en niet vanwege hun werkgever. Naast pc's in bepaalde organisaties lijken veel van de aangevallen systemen persoonlijke computers te zijn, meldt Symantec. Die pc's zijn aangesloten op internetverbindingen thuis.