e-Gov

Flame è un mostruoso virus per PC che ridicolizza Stuxnet

Si chiama Flame quello che potrebbe essere il più complesso virus per computer mai scoperto. Lo hanno individuato diversi ricercatori, tra cui quelli dell’Iranian Computer Emergency Response Team (MAHER). Le prime impressioni indicano una possibile relazione con i famosi Stuxnet e Duqu, e certamente un’arma informatica molto sofisticata.

Anche gli esperti di Kaspersky hanno analizzato Flame, e scoperto un complesso strumento di spionaggio e furto di dati. Questo virus può compiere diverse azioni: attivare il microfono del computer e registrare le conversazioni, tracciare i tasti premuti, prendere schermate, esaminare il traffico o comunicare via Bluetooth con dispositivi vicini.

Flame è pronto a scatenare l’inferno

Il prezzo di tale complessità è un “peso” totale di circa 20 MB, sei dei quali in un solo file. I ricercatori di Kaspersky trovano inoltre curioso che alcune parti di Flame siano scritte in LUA, un linguaggio di programmazione tipico dei videogiochi.

Per diffondersi Flame si copia sui dispositivi di memoria USB, ma sfruttava anche una falla (ora corretta) di Windows legata alle stampanti. Per nascondersi invece il virus disattiva alcune funzioni se rileva la presenza di un antivirus, e in questo è piuttosto efficace.

Kaspersky ha identificato sistemi infetti in Africa e Medio Oriente, in particolare in Iran, Israele, Sudan, Syria, Libano, Arabia Saudita ed Egitto. Un elenco di paesi che rafforza l’ipotesi di un’arma di spionaggio nelle mani di un qualche governo. Symantec tuttavia ha rilevato infezioni anche in Ungheria, Austria, Russia, Hong King ed Emirati Arabi Uniti – ma non si esclude la possibilità d’infezioni occasionali.

Quanto alle vittime, anche in questo caso c’è molta varietà: dalle agenzie governative alle università, dalle aziende ai computer privati.

Come nel caso di Stuxnet e Duqu non è possibile determinare chi siano gli autori, ma gli esperti sono concordi nell’affermare che solo uno stato può avere le risorse necessarie. L’unica debole traccia è il codice che contiene alcune stringhe di testo in inglese; non è granché, ma secondo Symantec si tratta di testi scritti da uno o più madrelingua. Se fosse vero – ma è difficile da stabilire con l’inglese – restringerebbe un po’ il campo.

Flame, infine, è attivo dal 2010. Si ritiene quindi che da almeno due anni questo virus sottragga informazioni riservate da “migliaia di computer” nei paesi citati, e che le trasmetta poi a destinatari che forse resteranno per sempre senza volto.