Lo sviluppo di Flame è iniziato prima del dicembre 2006 ed esistono almeno altri tre programmi nocivi legati a Flame, di cui ancora non si conosce la natura. Almeno uno di questi è ancora in circolazione. Il dato emerge da una ricerca di Kaspersky condotta in collaborazione con la divisione di cyber sicurezza IMPACT dell’International Telecommunication Union, CERT-Bund/BSI e con Symantec.
Almeno una variante di Flame è ancora in circolazione
I ricercatori hanno scoperto che i server Command & Control (C&C) utilizzati dai creatori di Flame sono stati camuffati per sembrare un sistema comune di gestione dei contenuti, in modo da nascondere la vera natura del progetto. L’infrastruttura C&C (che comprendeva almeno 80 domini conosciuti) era in grado di ricevere i dati dalle macchine infette mediante quattro differenti protocolli, di cui uno solo serviva per attaccare i computer con Flame. In dettaglio, gli hacker si sono serviti di un'applicazione web per recapitare i pacchetti di codice ai computer compromessi, quindi scaricare i pacchetti contenenti i dati rubati.
Secondo i ricercatori uno dei tre programmi sconosciuti legati a Flame è tuttora in circolazione, e la stessa piattaforma C&C sarebbe ancora in via di sviluppo. Si parla inoltre di uno schema di comunicazione denominato "Red Protocol", che è stato individuato sui server però non sarebbe stato ancora implementato. Non ci sono, invece, le prove che i server C&C di Flame siano stati impiegati per controllare altri malware come Stuxnet o Gauss.
Analizzando i dati recuperati dai server C&C utilizzati da Flame si è scoperto che sfruttavano una distribuzione Debian a 64 bit, virtualizzata grazie ai contenitori OpenVZ. Molti dei codici erano scritti con il linguaggio di programmazione PHP. Per nascondere l'attività illegale gli hacker hanno usato sofisticati metodi di crittografia in modo che nessuno potesse entrare in possesso dei dati archiviati sulle macchine infette.
Alexander Gostev di Kaspersky ha spiegato che "più di cinque gigabyte di dati sono stati caricati ogni settimana sul server analizzato, da più di 5000 macchine infette". "Questo è certamente un esempio di un'operazione di spionaggio informatico condotto su larga scala", ha concluso.
Il contenuto di una delle cartelle dei server C&C
L'osservazione di Gostev si sposa con quanto dichiarato di recente da Mikko Hypponen in un'intervista con The Verge. Il responsabile della sicurezza di F-Secure ha spiegato, fra le altre cose, che la scrittura di malware oggi non è più un passatempo intrapreso da uno o gruppi di hacker che intendono divertirsi, ma "un'attività ormai riservata a criminali, attivisti e governi", ciascuno spinto da differenti motivazioni.
Il malware in sostanza è diventato un "oggetto politico, con esponenti come Stuxnet e Flame sponsorizzati direttamente dai governi come strumenti offensivi" secondo Hypponen.
Non mancano ovviamente i virus atti semplicemente a rubare soldi ai comuni cittadini: anche in questo caso sono nelle mani delle grandi organizzazioni criminali che stanno investendo molto tempo e denaro nello sviluppo di strumenti sempre più efficaci. In questo caso la novità è che i criminali seguiranno gli utenti come il cacciatore insegue la preda: ne studieranno le abitudini e le useranno per sferrare gli attacchi.
La prossima frontiera, conclude Hypponen, sono gli smartphone, perché "se i consumatori li usano più dei PC è lì che si sposteranno gli aggressori". Non a caso Android è un crogiolo di malware, che proliferano grazie alla mancanza di filtri nella pubblicazione delle app e agli aggiornamenti rari e incostanti dei produttori. A questo si aggiunga che spesso è l'utente sprovveduto ad aprire la porta alle minacce, e si capisce che in realtà il lavoro degli hacker non è così difficile come dovrebbe.