Combatiendo a Flame

EmpresasSeguridad

Rik Ferguson, Director de Investigación de Seguridad y Comunicaciones de Trend Micro EMEA, cuestiona en este artículo cuáles son las principales características del último malware masivo.

Trabajo de cerca con los equipos de Marketing y Prensa de Trend Micro y sé que cada vez que existe una parte importante de una investigación, o se tiene una pieza relevante en la misma, surge la pregunta: “¿Podemos decir que es la primera y más grande, lo peor, etc?”. En la mayor parte de las ocasiones la respuesta es “No”, de hecho, sólo puedo pensar en una excepción en los últimos años.

Estoy seguro de que la situación es similar en el caso de otros proveedores de seguridad globales, pero parece que algunos son menos estoicos en su resistencia a la tentación de un titular. Eugene Kaspersky, que perecía disfrutar cuando le llamaron “glorious global megatroll” la semana pasada, es, sin duda, conocido por fomentar la controversia.

La semana pasada, la noticia comenzó con una pieza compleja de software malicioso también conocido como Flame/Flamer/SkyWiper que fue inmediatamente promocionado como el malware más sofisticado. La Unión Internacional de Telecomunicaciones (UIT) en la ONU dio a conocer lo que ellos describen como “la advertencia más seria que jamás hemos lanzado”, (aunque al parecer no lo suficientemente grave como para ofrecerlo en su página web). Esta afirmación fue corroborada por declaraciones de que Flame es “20 veces más compleja [que Stuxnet]. Nos llevará 10 años comprender completamente todo”, un indicador superior que me parece un tanto inestable o poco firme. Symantec incluso lo ha comparado con “un arma atómica”.

Ayer, al hablar con un periodista, la primera pregunta que me hizo fue “¿Qué hace que esta amenaza sea única?”, y honestamente me fue difícil encontrar una respuesta con la que sentirme cómodo. Eso, combinado con el revuelo con el que me he despertado esta mañana, provocó que me viera obligado a escribir este artículo.

Las funcionalidades y características de las que se informan sobre Flame hacen referencia a temas como su preciso enfoque geográfico, la naturaleza modular del código (diferentes módulos funcionales pueden ser “conectados” a un dispositivo infectado en caso necesario, su capacidad para utilizar hardware local como micrófonos, pulsaciones de teclado o la grabación de la actividad de la pantalla. ¡El hecho de que éstas se centren en Oriente Medio y que utilicen una vulnerabilidad de ejecución automática específica son motivos aparentemente suficientes para justificar la relación entre Flame y Stuxnet!

Los ataques de espionaje dirigidos a zonas geográficas específicas o a sectores industriales concretos no son nada nuevo, ahí están los ejemplos de LuckyCat, IXESHE o cualquiera de los cientos que recientemente se han registrado. La arquitectura modular del malware ha sido durante muchos años, junto con los desarrolladores que ofrecen módulos escritos a medida de las especificaciones del cliente, los requisitos sobre los que se asientan herramientas tales como Zeus o SpyEye; Carberp es otro gran ejemplo de troyano modular que roba información. De hecho, recientemente ya se ha encontrado una variante de SpyEye que utilizaba hardware local como cámaras y micrófonos para grabar a la víctima, al igual que Flamer y al igual que DarkComet RAT.

Infraestructuras de distribución maliciosas, tales como Smoke Malware Loader  prometen cargas secuenciales de archivos ejecutables y orientados geográficamente (entre otras muchas cosas). La clave de registro no es, por supuesto, nada nuevo y no está llevando a cabo la captura de tráfico de red o la extracción de información robada. La complejidad del código tampoco es nada nuevo, basta con echar un vistazo a TDL4, considerar la rápida adopción de Conficker de MD6 o sus tácticas de generación de dominio.

Entonces, ¿qué nos queda? Una gran pieza de código (de hasta 20 MB), que es único en términos de malware, sin duda, pero no es impresionante en sí mismo. El malware utiliza Lua, que es único en términos de malware, supongo, pero no es algo que eleve el riesgo inherente. Flame tiene la función de Bluetooth, aunque…

Curiosamente, justo antes de las noticias sobre Flame golpearan los cables, la UIT en la ONU lanzó un comunicado de prensa anunciando que un fabricante de seguridad se había unido a su evento Telecom World 2012, increíble ¡qué oportuno!, ¿no?

Lea también :