Na maandenlang de supermalware Flame te hebben bestudeerd, concluderen onderzoekers van Kaspersky dat er nog meer aan de hand is dan tot nu toe werd aangenomen. Zo zijn er sporen van nieuwe malwarevarianten in het wild aangetroffen en is er een nog nooit geïmplementeerd protocol ontdekt. Dit wijst erop dat de makers van Flame nog niet klaar zijn met de malwarecampagne.

Nieuw protocol

Hoofdonderzoeker Marco Preuss van Kaspersky vertelt aan Webwereld dat de ontwikkeling van Flame nog altijd doorgaat. “Er zijn momenteel meerdere onderdelen die nog niet zijn geïmplementeerd", aldus Preuss. Kaspersky heeft malware opgepikt in zijn eigen sinkholes en daarin troffen de onderzoekers een nieuw protocol aan dat 'Red Protocol' is gedoopt.

“Het is niet duidelijk wat 'Red Protocol' precies doet, omdat de volledige definitie ervan ontbreekt", zegt Preuss. “We vonden verwijzingen die lijken aan te geven dat er nog steeds aan de ontwikkeling van het platform wordt gewerkt."

Flame-familie

De sporen die Kaspersky met de sinkholes heeft opgevangen, wijzen erop dat er nog steeds nieuwe Flame-malware wordt uitgerold. “We zien kwaadaardige codes die niet precies Flame-malware zijn, maar tot dezelfde familie behoren", vertelt Preuss.

Omdat details van de code ontbreken, is de impact ervan niet helemaal helder. Maar duidelijk is dat de dreiging van Flame niet voorbij is. “We gaan er vanuit dat er malware in omloop is die nog niet eerder is ontdekt."

Professionele cyberwarfare

Het bewijs dat een staat achter de venijnige malware zit, stapelt zich op. “Het beheerspaneel van Flame is erg minimalistisch. Je ziet vaak dat hackers een flashy paneel maken met veel opties, zoals het kiezen van commando's, uploaden van nieuwe binaries en uitgebreide statistieken. Maar het Flame-CMS ziet er niet uit als een malwareplatform, waardoor het eerder onopgemerkt blijft als mensen hem tegenkomen."

Het versleutelde verkeer is een andere indicatie dat Flame niet van zomaar een groep cybercriminelen afkomstig is. Volgens de onderzoekers sturen hackers gestolen data onversleuteld naar een centrale map waar de hackers bij kunnen.

De gegevens die Flame steelt, zijn door luistervinken niet te onderscheppen. “Dit wijst op een universele databeschermingsstandaard, zoals overheden hanteren."

Al jaren in ontwikkeling

Volgens Kaspersky is de ontwikkeling van Flame al in 2006 begonnen. Daarmee lijkt het erop dat de ontwikkeling van de malware al is begonnen voordat Stuxnet langskwam. De onderzoekers denken dat er een duidelijke band is tussen de twee malware-varianten.

“De complexiteit van de code en de bevestigde banden met ontwikkelaars van Stuxnet wijzen erop dat Flame nog een voorbeeld is van cyberoperatie die door een staat is uitgevoerd", stellen de onderzoekers in een persbericht.