S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flame, malware le plus puissant et sophistiqué selon Kaspersky

Flame, malware olympique

Les prédictions sur la sécurité informatiques convergent actuellement : si les machines sont globalement mieux protégées, les menaces se font de plus en plus évoluées. Ainsi, l’éditeur russe Kaspersky indique enquêter sur ce qu’il présente comme le malware le plus sophistiqué jamais découvert dans ses locaux, Flame.

flame

Une menace surtout centrée sur le Moyen-Orient pour l'instant

Kaspersky explique sur son blog avoir été approché par l’ITU (International Telecommunication Union) des Nations Unies pour apporter une aide dans la traque contre un malware inconnu. Ce dernier se manifestait surtout par d’étranges suppressions de données sur des ordinateurs du Moyen-Orient. Une enquête qui a abouti par la découverte d’un malware, Worm.Win32.Flame, ou plus simplement Flame.

Flame est un malware au sens plus que large. Il s’agit dans les grandes lignes d’un kit d’outils possédant des fonctionnalités héritées des chevaux de Troie, des portes dérobées ou encore des vers. Selon les premiers élements, Flame partage de nombreuses caractéristiques communes avec Duqu et Stuxnet, dont nous avions déjà parlé, sans que rien ne permette d’affirmer qu’il s’agit des mêmes auteurs.

Une question de géographie tout d’abord à cause des zones touchées (Iran, Liban, Soudan, Syrie, Israël…), ou encore l’utilisation de failles très spécifiques. Notez qu’un autre éditeur, Symantec, travaille lui aussi sur « Flamer » et signale quelques autres pays : Cisjordanie, Hongrie, Russie ou encore Hong-Kong. Flame, Flamer ou même sKyWIper pour le département des télécommunications de l’université de Budapest puisqu’il a été confirmé qu’il s’agissait bien de la même menace. Le centre iranien des menaces informatiques recense lui aussi la menace sous l'appellation Flame.

flame
Source : Kaspersky

Une taille monstrueuse

Flame pose essentiellement deux gros problèmes. Premièrement, l’éditeur ne connaît pas encore le vecteur d’attaque initial du malware. Traduction : on le trouve sur de nombreuses machines du Moyen-Orient, mais personne ne sait d'où il est venu en premier lieu. Des suspicions s’orientent vers des failles spécifiques, en particulier la MS10-033 : une faille critique, corrigée en juin 2010, qui touchait une DLL de DirectShow, donc tous les Windows de XP à 7.

Deuxièmement, et c’est le plus important, Flame est un malware extrêmement sophistiqué. Il possède plusieurs caractéristiques qui le rendent aussi atypique que délicat à analyser. La principale barrière est qu’il pèse pas moins de 20 Mo une fois installé et déployé dans une machine, une taille inhabituellement grande. Son champ d’action est là encore complexe car Flame est capable d’effectuer de très nombreuses manipulations : interception du clavier (keylogger), enregistrement de captures d’écran, enregistrement de conversations audio (tout ce qui passe par le micro) ou encore écoute du réseau local. Les données sont ensuite envoyées aux serveurs de contrôle à travers un canal chiffré SSL.

Une conception complexe à multiples facettes

La conception même de Flame a de quoi étonner. De très nombreuses bibliothèques sont incluses, telles que zlib, libbz2 et ppmd pour la compression, SQLite 3 pour les bases de données et même une machine virtuelle en langage de script LUA. D’ailleurs, une bonne partie du squelette de Flame est écrite en LUA, ce qui est là encore inhabituel, même si toutes les routines d’attaques sont compilées en C++. Plusieurs méthodes de chiffrement sont également utilisées, ainsi que des scripts WMI (Windows Management Instrumentation), batch (lots de commandes) et autres. Flame est également capable de transformer la machine en balise Bluetooth pour fournir des informations générales sur les appareils qui l’entourent.

flame 
Composants impliqués et identifiés par Symantec

Même la date de création du malware pose problème : les auteurs ont visiblement modifié les dates de manière à ce que l’historique ne puisse pas être reconstitué. On trouve par exemple des années étranges telles que 1992, 1994 et 1995, mais Kaspersky est certain qu’il s’agit de fausses dates. Pour l’éditeur, Flame n’a pas été conçu avant 2010 mais est toujours en travaux. Les premières données sur son utilisation active semblent remonter à février ou mars 2010. L’appellation « Flame(r) » est en outre un choix arbitraire fait par Kaspersky et Symantec. Le kit d’outils n’a pas de nom absolu, mais le terme « Flame » est utilisé pour désigner les routines d’attaques et d’infection.

Pour Kaspersky, Flame a été financé par un état

Mais l’aspect le plus singulier de cette menace est qu’il s’agit sans doute, pour Kaspersky, d’un projet financé au moins en partie par un état. Flame ne vole par exemple pas d’argent et n’a donc certainement pas été créé par des cybercriminels classiques. Il est encore différent des outils habituels des hacktivistes. Resteraient donc les Etats, un soupçon en outre alimenté par la géographie bien précise des zones d’attaques. Mais ce ne sont que des suppositions : les auteurs restent inconnus comme dans les cas de Stuxnet et Duqu.

Le profil des cibles semble être pour sa part très large : tout ce qui est capable de contenir une certaine « intelligence », autrement dit des informations pratiques extraites des emails, bases de données, discussions, documents et autres. En clair, du cyber-espionnage à très large échelle pour toucher des institutions publiques comme des structures privées, en passant par des installations sensibles telles que les centrales nucléaires. Selon Kaspersky, quelques 5000 machines ont été touchées, la grande majorité en Iran.

Flame possède différents vecteurs d’attaques recensés. Par exemple, une méthode spécifique et « astucieuse » passant le fichier INF Autorun sur les clés USB et vue uniquement dans Stuxnet précédemment. La vulnérabilité MS10-061 qui exploite les scripts WMI pour imprimantes, les tâches distantes et sa présence sur le contrôleur de domaine avec des droits élevés (exécuté par l’administrateur) sont également déterminantes dans son processus de diffusion.

Reste qu’un élément semble sûr, autant pour Kaspersky que pour Symantec : Flame/Flamer est un kit très large dont l’infrastructure modulable a été conçue pour évoluer facilement. Les éditeurs pensent donc qu’il est là pour rester et que de nombreuses variantes sont à venir. Mais l’analyse de cette menace sera complexe. Kaspersky rappelle en effet que l’analyse de Stuxnet avait réclamé plusieurs mois, alors que le malware ne pesait que 500 Ko, à comparer aux 20 Mo de Flame. Enfin, les serveurs de commande, cachés derrière des domaines et sous-domaines, peuvent envoyer des ordres de désinstallation qui permettent à Flame de disparaître sans laisser la moindre trace.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 29/05/2012 à 11:57

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 131 commentaires

Avatar de Infoman007 INpactien
Infoman007 Le mardi 29 mai 2012 à 12:27:36
Inscrit le mardi 30 mars 10 - 98 commentaires
sept.gif pour le sous-titre.

Il était facile celui-là.
Avatar de oOZakOo INpactien
oOZakOo Le mardi 29 mai 2012 à 12:30:18
Inscrit le dimanche 6 mars 11 - 291 commentaires
Wow, c'est quand même du beau boulot ce machin

Après je me demande aussi comment il font pour détecter de tels virus, surtout qu'il n' est pas massivement répandu...
Avatar de Fantassin INpactien
Fantassin Le mardi 29 mai 2012 à 12:37:30
Inscrit le lundi 5 novembre 07 - 4078 commentaires
Et jeter un seau d'eau pour l'éteindre ne suffit pas ?!
Avatar de maestro321 INpactien
maestro321 Le mardi 29 mai 2012 à 12:42:51
Inscrit le vendredi 9 avril 10 - 2621 commentaires

Après je me demande aussi comment il font pour détecter de tels virus, surtout qu'il n' est pas massivement répandu...
Kaspersky explique sur son blog avoir été approché par l’ITU (International Telecommunication Union) des Nations Unies pour apporter une aide dans la traque contre un malware inconnu. Ce dernier se manifestait surtout par d’étranges suppressions de données sur des ordinateurs du Moyen-Orient. Une enquête qui a abouti par la découverte d’un malware, Worm.Win32.Flame, ou plus simplement Flame.



Edité par maestro321 le mardi 29 mai 2012 à 12:43
Avatar de LaVersion INpactien
LaVersion Le mardi 29 mai 2012 à 12:44:32
Inscrit le mercredi 21 septembre 11 - 157 commentaires
Ah ouais, des ocx : c'est plus du spécif Windows, c'est carrément du spécif IE... 8-O
Avatar de Crysalide INpactien
Crysalide Le mardi 29 mai 2012 à 12:45:36
Inscrit le mardi 24 mars 09 - 5368 commentaires

Il faudrait savoir qui est surveillé infecté en Israël avant de balancer des énormités pareilles ^^ (deuxième pays touché quand même)

Fallait lire au conditionnel. Reste que ce virus semble clairement une arme étatique, comme Stuxnet qui a attaqué l'Iran en faisant des dommages collatéraux ailleurs.
Avatar de Crysalide INpactien
Crysalide Le mardi 29 mai 2012 à 12:46:41
Inscrit le mardi 24 mars 09 - 5368 commentaires
Wow, c'est quand même du beau boulot ce machin

Après je me demande aussi comment il font pour détecter de tels virus, surtout qu'il n' est pas massivement répandu...

Heuristiques, rapports de diagnostic ?
Avatar de oOZakOo INpactien
oOZakOo Le mardi 29 mai 2012 à 12:48:55
Inscrit le dimanche 6 mars 11 - 291 commentaires


J'ai compris ça merci.

Une enquête qui a abouti par la découverte d’un malware, Worm.Win32.Flame


Il y a donc des mecs dont leur métier consiste à fouiller dans leur Windows ?
Avatar de Asami INpactienne
Asami Le mardi 29 mai 2012 à 12:50:24
Inscrite le mercredi 18 mars 09 - 110 commentaires
Bizarrement, quand j'ai vu son champ d'action, j'ai tout de suite pensé à un outil d'espionnage pour les Majors

mais c'est vrai que, toujours vu son champ d'action et les pays touchés, ça sent plus l'état qui espionne que le cyberhacker lambda. Je pencherai pour la Chine car c'est le pays géographiquement et diplomatiquement le plus proche des pays touchés (Moyen-Orient et Asie). Après, c'est ptêt' pas eux du tout, hein....






la vache, 20 Mo, on dirait un mp3 de Sigur Rós
Avatar de Grawok INpactien
Grawok Le mardi 29 mai 2012 à 12:51:14
Inscrit le jeudi 22 septembre 11 - 163 commentaires
depuis 2 ans, la bestiole a dû avoir le temps de remplir son objectif. Tout ce qui reste maintenant ressemble à des dommages collatéraux.
;