Flame: dit cyberwapen is ‘erger dan Stuxnet’

Engelstalige media noemen het al de ‘Son of Stuxnet’: Flame, een nieuw cyberwapen dat enkele duizenden Windows-computer in het Midden-Oosten besmet heeft. Het doelwit lijkt opnieuw Iran te zijn.

Onderzoekers van veiligheidsbedrijven hebben een computervirus ontdekt dat een vervolg zou kunnen zijn op Stuxnet, een complex spionagevirus dat in 2010 aan het licht kwam. Het nieuwe, geavanceerde cyberwapen wordt Flame(r) of Skywiper genoemd en is vermoedelijk al jarenlang in omloop.

Onderzoekers van Kaspersky en een groep Hongaarse analisten kwamen gisteren naar buiten met details over de meest complexe kwaadaardige software die ze tot nu toe onderzocht hebben.Flame toont verwantschap met Stuxnet – dat was vermoedelijk een creatie van Amerikaanse en Israelische veiligeheidsdiensten in een poging het Iraanse kernwapenprogramma te vertragen. Ook Flame werd gemeld door Iraanse autoriteiten en maakt gebruik van een aantal van dezelfde softwarefouten (exploits)  die Stuxnet inzette om binnen te dringen in computers.

sKyWIper (Flame) is another info-stealer malware with a modular structure incorporating multiple propagation and attack techniques, but further analysis may discover components with other functionalities. In addition, sKyWIper may have been active for as long as five to eight years, or even more.

Meer weten of Skywiper/Flame?

Deze analyse van een fractie van de malware telt al 62 pagina’s.  Kaspersky zette een handige Q&A op met vragen over Flame.

Flame is beschermd met drie soorten versleuteling, is geschreven met een intelligente complexe programmeertaal en kan schermafdrukken, netwerkverkeer, toetsaanslagen en afgeluisterde gesprekken doorsturen. Daarnaast is het een complete virtuele machine die biedt ruimte aan allerlei ‘plugins’ om op afstand functionaliteit toe te voegen. De software vernietigt sporen en voorkomt dat het al te ruim verspreid wordt, om langer onder de radar te kunnen blijven.

De ontdekte spionagesoftware is vermoedelijk al vijf tot acht jaar in omloop maar werd pas in maart voor het eerst gesignaleerd. Onderzoekers sluiten uit dat gewone cybercriminelen of hacktivisten zulke geavanceerde code kunnen schrijven.

Stuxnet baarde destijds opzien omdat kwaadwillenden met de software ongezien aanpassingen kon doen in industriële systemen (via Siemens SCADA-systemen), waaronder energiecentrales. Het is nog niet duidelijk of Flame ook in staat is om industriële processen te manipuleren maar dat valt nog niet uit te sluiten: Flameis in verhouding met andere ‘malware’ extreem groot (20 MB, tien tot honderd keer zo groot als normaal) en de onderzoekers zijn nog lang niet klaar met hun analyse.

Overigens werd de opdracht tot het onderzoek  gegeven door de ITU, een onderdeel van de Verenigde Naties dat over de internationale telecommunicatie gaat. De ITU krijgt op dit moment veel kritiek van internetbedrijven die niet willen dat ITU zich gaat bemoeien met het internetverkeer.