S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flame, malware le plus puissant et sophistiqué selon Kaspersky

Flame, malware olympique

Les prédictions sur la sécurité informatiques convergent actuellement : si les machines sont globalement mieux protégées, les menaces se font de plus en plus évoluées. Ainsi, l’éditeur russe Kaspersky indique enquêter sur ce qu’il présente comme le malware le plus sophistiqué jamais découvert dans ses locaux, Flame.

flame

Une menace surtout centrée sur le Moyen-Orient pour l'instant

Kaspersky explique sur son blog avoir été approché par l’ITU (International Telecommunication Union) des Nations Unies pour apporter une aide dans la traque contre un malware inconnu. Ce dernier se manifestait surtout par d’étranges suppressions de données sur des ordinateurs du Moyen-Orient. Une enquête qui a abouti par la découverte d’un malware, Worm.Win32.Flame, ou plus simplement Flame.

Flame est un malware au sens plus que large. Il s’agit dans les grandes lignes d’un kit d’outils possédant des fonctionnalités héritées des chevaux de Troie, des portes dérobées ou encore des vers. Selon les premiers élements, Flame partage de nombreuses caractéristiques communes avec Duqu et Stuxnet, dont nous avions déjà parlé, sans que rien ne permette d’affirmer qu’il s’agit des mêmes auteurs.

Une question de géographie tout d’abord à cause des zones touchées (Iran, Liban, Soudan, Syrie, Israël…), ou encore l’utilisation de failles très spécifiques. Notez qu’un autre éditeur, Symantec, travaille lui aussi sur « Flamer » et signale quelques autres pays : Cisjordanie, Hongrie, Russie ou encore Hong-Kong. Flame, Flamer ou même sKyWIper pour le département des télécommunications de l’université de Budapest puisqu’il a été confirmé qu’il s’agissait bien de la même menace. Le centre iranien des menaces informatiques recense lui aussi la menace sous l'appellation Flame.

flame
Source : Kaspersky

Une taille monstrueuse

Flame pose essentiellement deux gros problèmes. Premièrement, l’éditeur ne connaît pas encore le vecteur d’attaque initial du malware. Traduction : on le trouve sur de nombreuses machines du Moyen-Orient, mais personne ne sait d'où il est venu en premier lieu. Des suspicions s’orientent vers des failles spécifiques, en particulier la MS10-033 : une faille critique, corrigée en juin 2010, qui touchait une DLL de DirectShow, donc tous les Windows de XP à 7.

Deuxièmement, et c’est le plus important, Flame est un malware extrêmement sophistiqué. Il possède plusieurs caractéristiques qui le rendent aussi atypique que délicat à analyser. La principale barrière est qu’il pèse pas moins de 20 Mo une fois installé et déployé dans une machine, une taille inhabituellement grande. Son champ d’action est là encore complexe car Flame est capable d’effectuer de très nombreuses manipulations : interception du clavier (keylogger), enregistrement de captures d’écran, enregistrement de conversations audio (tout ce qui passe par le micro) ou encore écoute du réseau local. Les données sont ensuite envoyées aux serveurs de contrôle à travers un canal chiffré SSL.

Une conception complexe à multiples facettes

La conception même de Flame a de quoi étonner. De très nombreuses bibliothèques sont incluses, telles que zlib, libbz2 et ppmd pour la compression, SQLite 3 pour les bases de données et même une machine virtuelle en langage de script LUA. D’ailleurs, une bonne partie du squelette de Flame est écrite en LUA, ce qui est là encore inhabituel, même si toutes les routines d’attaques sont compilées en C++. Plusieurs méthodes de chiffrement sont également utilisées, ainsi que des scripts WMI (Windows Management Instrumentation), batch (lots de commandes) et autres. Flame est également capable de transformer la machine en balise Bluetooth pour fournir des informations générales sur les appareils qui l’entourent.

flame 
Composants impliqués et identifiés par Symantec

Même la date de création du malware pose problème : les auteurs ont visiblement modifié les dates de manière à ce que l’historique ne puisse pas être reconstitué. On trouve par exemple des années étranges telles que 1992, 1994 et 1995, mais Kaspersky est certain qu’il s’agit de fausses dates. Pour l’éditeur, Flame n’a pas été conçu avant 2010 mais est toujours en travaux. Les premières données sur son utilisation active semblent remonter à février ou mars 2010. L’appellation « Flame(r) » est en outre un choix arbitraire fait par Kaspersky et Symantec. Le kit d’outils n’a pas de nom absolu, mais le terme « Flame » est utilisé pour désigner les routines d’attaques et d’infection.

Pour Kaspersky, Flame a été financé par un état

Mais l’aspect le plus singulier de cette menace est qu’il s’agit sans doute, pour Kaspersky, d’un projet financé au moins en partie par un état. Flame ne vole par exemple pas d’argent et n’a donc certainement pas été créé par des cybercriminels classiques. Il est encore différent des outils habituels des hacktivistes. Resteraient donc les Etats, un soupçon en outre alimenté par la géographie bien précise des zones d’attaques. Mais ce ne sont que des suppositions : les auteurs restent inconnus comme dans les cas de Stuxnet et Duqu.

Le profil des cibles semble être pour sa part très large : tout ce qui est capable de contenir une certaine « intelligence », autrement dit des informations pratiques extraites des emails, bases de données, discussions, documents et autres. En clair, du cyber-espionnage à très large échelle pour toucher des institutions publiques comme des structures privées, en passant par des installations sensibles telles que les centrales nucléaires. Selon Kaspersky, quelques 5000 machines ont été touchées, la grande majorité en Iran.

Flame possède différents vecteurs d’attaques recensés. Par exemple, une méthode spécifique et « astucieuse » passant le fichier INF Autorun sur les clés USB et vue uniquement dans Stuxnet précédemment. La vulnérabilité MS10-061 qui exploite les scripts WMI pour imprimantes, les tâches distantes et sa présence sur le contrôleur de domaine avec des droits élevés (exécuté par l’administrateur) sont également déterminantes dans son processus de diffusion.

Reste qu’un élément semble sûr, autant pour Kaspersky que pour Symantec : Flame/Flamer est un kit très large dont l’infrastructure modulable a été conçue pour évoluer facilement. Les éditeurs pensent donc qu’il est là pour rester et que de nombreuses variantes sont à venir. Mais l’analyse de cette menace sera complexe. Kaspersky rappelle en effet que l’analyse de Stuxnet avait réclamé plusieurs mois, alors que le malware ne pesait que 500 Ko, à comparer aux 20 Mo de Flame. Enfin, les serveurs de commande, cachés derrière des domaines et sous-domaines, peuvent envoyer des ordres de désinstallation qui permettent à Flame de disparaître sans laisser la moindre trace.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 29/05/2012 à 11:57

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 131 commentaires

Avatar de Blakbear INpactien
Blakbear Le mardi 29 mai 2012 à 13:44:57
Inscrit le lundi 12 mai 03 - 3723 commentaires
J'avais lu ça ailelurs ce matin sur Flame : http://www.zdnet.fr/actualites/flame-le-virus-le-plus-puissant-de-l-histoire-du-cyber-espionnage-39772159.htm

Ok, pour un malware qui vient juste d'être détecté et qui cache ses traces il semble difficile d'avoir des dates fiables... mais j'aime bien ce que dit le directeur de Dtex Systems : "La chose la plus effrayante pour moi est que si c'est ce dont ils étaient capables il y a cinq ans, je peine à imaginer ce qu'ils conçoivent maintenant"...
ils doivent s'amuser les informaticiens de la NSA ou du Mossad ou d'autres
Avatar de canti INpactien
canti Le mardi 29 mai 2012 à 13:44:59
Inscrit le lundi 5 mai 03 - 4334 commentaires


Q1 : A quand une migration des administrations (et clients) critiques sous SELinux ?


ce sont des attaques tres ciblés, si ils avaient du linux, ils utiliseraient des failles linux ( ce genre de machine sont de toute façon très mal administrés, et mal mis à jour )
Avatar de John Shaft INpactien
John Shaft Le mardi 29 mai 2012 à 13:45:02
Inscrit le vendredi 14 janvier 11 - 10371 commentaires

J'pensais avoir une piste


L'INtention est louable mais Windows 8, c'est un peu tirer sur l'ambulance troll.gif



Edité par tot0che le vendredi 18 janvier 2013 à 19:33
Avatar de kwak-kwak INpactien
kwak-kwak Le mardi 29 mai 2012 à 13:51:30
Inscrit le jeudi 27 mai 10 - 1983 commentaires
Ouais... en fait c'est le projet d'un stagiaire qui a buggué et qui s'est répandu partout...
Le grand retour du mouchard de sécurisation de l'Hadopi.

Avatar de Kiran INpactien
Kiran Le mardi 29 mai 2012 à 13:53:07
Inscrit le samedi 2 février 08 - 823 commentaires
Je comprend pas une chose,

Le virus envoie les données collectées sur un serveur afin qu'une tiers partie les récupère.

Pourquoi ne sait-on pas localiser le serveur, le monitorer et trouver la personne qui vient consulter les données du virus.



Je me pose la même question, un technicien ou un INpactien éclairé pourrait apporter des éléments de réponses?
Avatar de stunt INpactien
stunt Le mardi 29 mai 2012 à 13:56:17
Inscrit le jeudi 24 août 06 - 483 commentaires


Je me pose la même question, un technicien ou un INpactien éclairé pourrait apporter des éléments de réponses?


Un élément de réponse ?
Les données sont ensuite envoyées aux serveurs de contrôle à travers un canal chiffré SSL.
Avatar de KongMing INpactien
KongMing Le mardi 29 mai 2012 à 13:56:56
Inscrit le jeudi 26 avril 12 - 4 commentaires
Je comprend pas une chose,

Le virus envoie les données collectées sur un serveur afin qu'une tiers partie les récupère.

Pourquoi ne sait-on pas localiser le serveur, le monitorer et trouver la personne qui vient consulter les données du virus.



En général celui qui se fait chier à faire un engin aussi poussé va pas utiliser comme serveur une machine accessible directement sans passer par un canal crypté et d'autres joyeusetés du genre ( proxy etc.).
Manquerai plus que ça soir son pc perso sous windows vista sans mot de passe administrateur et avec son navigateur qui a sa session Facebook ouverte dans le genre " Arretez moi s'il vous plait".
Avatar de psn00ps INpactien
psn00ps Le mardi 29 mai 2012 à 13:58:16
Inscrit le jeudi 7 février 08 - 6150 commentaires
Capitaine Flam tu n'es pas
De notre galaxie
Mais du fond de la nuit
Capitaine Flam
D'aussi loin que l'infini
Tu descends jusqu'ici
Pour Hacker tous les hommes

chant.gif

http://www.youtube.com/watch?v=1qW3dvpaKBw
Avatar de El Chupacabra INpactien
El Chupacabra Le mardi 29 mai 2012 à 13:58:39
Inscrit le vendredi 8 mai 09 - 73 commentaires

Ça m'intéresse, tu veux dire quoi par la ?


C'est une généralité, je te rassure j'ai pas d'info super croustillante que m'aurait donnée mon pote hacker du FBI.

Les gentils auront toujours une sacré longueur de retard. Le travail d'analyse technique et de rétro-ingénieurie des nouvelles menaces très long, les difficultés qu'ont les spécialistes à remonter les filières qui créent et distribuent les malwares.

Alors quand ce sont les Etats qui s'amusent, c'est game over assuré.



Edité par El Chupacabra le mardi 29 mai 2012 à 13:58
Avatar de Holly Brius INpactien
Holly Brius Le mardi 29 mai 2012 à 13:58:57
Inscrit le vendredi 16 décembre 11 - 1299 commentaires
A voir les pays touché et la complexité du bordel, aucun doute possible sur l'origine étatique du bordel...
Et qq chose me dit qu'il n'y a pas 10 pays sur terre capable de faire ce genre de chose...
;