www.MegaLab.it

Il malware più complesso e sofisticato che il mondo dei cracker abbia mai prodotto. Questa sarebbe, in sintesi, l'identità del nuovo programma nocivo scoperto da Kaspersky Lab, nota società produttrice di soluzioni per la sicurezza, identificato come Worm.Win32.Flame o più semplicemente Flame.

Come annunciato dalla stessa società, la scoperta di questo worm sarebbe avvenuta in modo casuale, durante un investigazione commissionata dalla ITU (International Telecommunication Union) riguardo ad un malware (Wiper) che stava cancellando informazioni riservate su alcuni server in Medio Oriente.

Sembrerebbe però che non si tratti di una minaccia apparsa solo di recente: infatti, Flame sarebbe in attività già da ben due anni, totalmente invisibile ai vari software antivirali grazie alla sua elevata complessità e agli attacchi mirati che vengono effettuati tramite il suo utilizzo.

Basti pensare che la dimensione totale del malware si aggira intorno ai 20 MB, molto più di tante normali applicazioni, il che rende difficoltoso per i software di sicurezza controllare tutte le istruzioni contenute al suo interno.

Flame si diffonde principalmente tramite chiavette USB infette, ma è in grado, tramite una vulnerabilità nella gestione delle stampanti condivise di Windows (utilizzata in passato dal malware Stuxnet, e già risolta da tempo da Microsoft), di diffondersi all'interno dei PC e server collegati all'interno della rete LAN. Una volta copiato nel sistema vittima, Flame si attiva ed inizia a collezionare ogni informazione utile ai cracker, come ad esempio lo sniffing del traffico di rete, la registrazione delle conversazioni dal microfono, gli screenshot di alcune applicazioni mirate (come i software di messaggistica istantanea), i dati inviati da dispositivi collegati tramite Bluetooth ed i tasti premuti da tastiera. Una volta acqusiti tutti questi dati, il malware li invia a vari server di controllo sparsi in tutto il mondo, per poi finire nelle mani dei malviventi.

Riguardo chi abbia creato il malware, Kaspersky principalmente ha tre sospetti: un gruppo di hacktivisti, di cybercriminali, ma soprattutto uno o più Stati. Infatti, quest'ultima ipotesi è rafforzata dal fatto che Flame non ruba alcun dato utile al furto di denaro dai vari conti bancari, oltre al fatto che compie solo attacchi mirati a paesi del Medio Oriente.

In ogni caso, la ITU ha già comunicato che provvederà ad informare i governi mondiali e i principali operatori del settore informatico tramite la rete ITU-IMPACT, in modo da avvisare tutti del nuovo pericolo.