A quanto pare i creatori di Flame, il più potente virus della storia, gli avrebbero ordinato di "suicidarsi".


Alcune settimane fa la Kaspersky Lab è riuscita ad individuare Flame, il potente virus informatico. Virus che è stato concepito per essere una vera e propria arma informatica destinata allo spionaggio, il quale riesce a rubare parecchie informazioni dai computer sui quali viene installato e che è stato definito come il più potente della storia per le sue complessità e funzionalità superiori a qualsiasi altro virus scoperto finora. Inoltre in queste settimane sono state scoperte ulteriori informazioni su Flame, ovvero: pesa solo 20 Megabyte; si tratta di una spia in codice binario, vale a dire che può registrare le conversazioni effettuate via Skype oppure nelle immediate vicinanze del computer. Inoltre il malware trasforma i terminali dotati del sistema Bluetooth in sistemi in grado di prelevare dati e contatti da altri dispositivi. Ma non solo; infatti, come già spiegato, Flame può scattare uno screenshot ogni dodici secondi. Il che consente di monitorare in tempo reale tutte le attività prodotte sui vari computer infettati. E quindi a questo sofisticato virus non sfugge nulla: immagini, comunicazioni instant messagingvia e-mail; il tutto viene memorizzato per poi essere inviato agli autori del virus. Oltretutto l'intero traffico che passa dalla rete locale viene immediatamente scansionato e per questo motivo niente è al sicuro, difatti, gli username e le password di tutta l'utenza vengono automaticamente copiati. In questo modo, partendo da un PC infetto collegato alla Rete, il virus può arrivare a tutti gli altri PC dotati delle chiavi di qualsiasi rete locale. A quanto pare però, tra un'ipotesi e l'altra di una sua possibile natura governativa, (secondo molti soltanto un apparato statale avrebbe le risorse per mettere a punto un sistema così perfetto e per questo i governi di Israele e Stati Uniti vengono accusati di continuo di esserne i creatori), e tentativi per debellarlo che falliscono con una regolarità imbarazzante, di recente la Symantec, una delle aziende di antivirus più impegnata sul fronte della lotta contro Flame, ha scoperto che i creatori dell'anzicitato virus starebbero rimuovendo il malware dai computer sui quali l'installazione non è riuscita correttamente. In pratica gli esperti della Symantec, utilizzando dei particolari computer, denominati honeypot, che sono stati volutamente infettati per ricevere gli aggiornamenti sul virus, hanno constatato che il pericoloso malware Flame è stato aggiornato per attivare da remoto una sorta di procedura di "suicidio" sui computer infetti. Infatti, dopo aver preso il controllo dei PC, gli hacker inviano nuovi moduli per estendere le funzionalità di Flame. Dunque gli esperti hanno visto che uno degli ultimi file inviato dai server command-and-control si chiama browse32.ocx, ovvero un modulo che funziona come un comune uninstaller e che quindi rimuove tutti i file e tutte le directory utilizzate da Flame, sovrascrivendo il disco con caratteri casuali per inibire la rilevazione dell'infezione e la raccolta di informazioni sul suo funzionamento, impedendo così ai ricercatori di sicurezza di studiare il suo funzionamento e sviluppare le necessarie contromisure. Difatti al termine dell'operazione di pulizia, il modulo cancella anche se stesso, eliminando in questo modo qualsiasi traccia sui computer infetti. Per di più le ipotesi formulate al riguardo sono molteplici. Infatti in molti hanno sostenuto che si tratterebbe di un tentativo di rimuovere il virus da quei computer il cui contagio non è avvenuto in modo efficace, in modo da rendere impossibile a qualcuno di arrivare al quartier generale dei creatori di Flame. Oltretutto lo studio del malware ha permesso di rivelare quanto sia sofisticato il codice usato, talmente sofisticato da rendere improbabile la scrittura da parte di un semplice addetto ai lavori. Difatti, come già spiegato, molti esperti hanno dichiarato: "Si tratta di un vero e proprio ordigno governativo". A sollevare questi timori è stato anche il tipo di crittografia utilizzata dal virus per nascondersi all'interno del software del computer infetto. Crittografia che sfrutta un "MD5 collision attack" per ingannare Windows Update, utilizzando falsi certificati firmati da Microsoft. Dunque l'utente non si accorge dell'installazione del malware in quanto i moduli vengono scaricati attraverso il noto servizio di aggiornamento dei sistemi operativi Windows. Comunque per precauzione l'azienda di Redmond ha subito rilasciato un'apposita patch per risolvere il problema e tra non molto tempo cambierà il sistema di gestione dei certificati. In ogni caso le altre analisi effettuate sul sofisticato codice hanno ipotizzato che dietro a questo nuovo virus ci sarebbero gli stessi autori di Stuxnet, ritenuto il suo predecessore; perciò adesso i suoi creatori avrebbero agito per far sparire il programma, ordinandogli il "suicidio", in modo da evitare la scoperta di altri indizi che avrebbero permesso di identificarli. Anche se Alexander Gostev, esperto nel campo degli antivirus della Kaspersky Lab, ha spiegato: "Probabilmente sarebbe necessario studiarlo per dieci anni solo per capire come funziona". Infatti i meccanismi interni sembrano essere particolarmente complicati poiché sembra che Flame sarebbe il primo malware ad utilizzare una tecnica crittografica nota come "prefix collision attack" per creare le false credenziali di autenticazione digitale che hanno contribuito a diffonderlo.

Commenti