Flame, la plus sophistiquée des cyberarmes

Kaspersky a mis le doigt sur l’un des codes malicieux les plus complexes jamais écrits. Véritable trousse à outils pour cyberespion, Flame vole un maximum d’informations sur la machine cible… Tout en demeurant invisible.
Après Stuxnet et Duqu, Flame. Une équipe de chercheurs de Kaspersky a révélé, hier, avoir découvert ce qu’ils estiment être la plus complexe des cyberarmes jamais mises au jour. Flame – ou Flamer pour Symantec – est en effet loin d’être un logiciel malveillant comme les autres, démasqué en effectuant des recherches sur un autre malware qui conserve encore tous ses mystères, Wiper. Alexander Gostev, expert en sécurité chez Kaspersky Labs décrit Flame comme bien plus complexe que Duqu et précise qu’il est si « incroyablement sophistiqué qu’il redéfinit la notion de cyberguerre et de cyberespionnage. »

Voilà deux ans qu’en douce, ce programme épie l’activité de dizaines de machines, principalement dans des pays du Moyen-Orient. Une fois installé sur un ordinateur sous Windows, cette boîte à outils d’espions est en mesure de récupérer une quantité de données incroyable : Flame peut voler les documents qui y sont stockés, prendre des captures d’écran lorsque certaines applications intéressantes sont lancées, « sniffer » le réseau local… Ou enregistrer des conversations audio depuis le micro de l’ordinateur. Et il est fortement probable que Flame dispose d’autres moyens d’écoute, pas encore découverts… Tout cela en demeurant caché, invisible notamment pour les logiciels de sécurité, qu'il peut désactiver.
Il fonctionne aussi comme un bot : toutes les informations volées sont envoyées régulièrement à ses mystérieux opérateurs via un canal SSL. Kaspersky a déjà découvert pas moins d’une douzaine de noms de domaines et différents serveurs liés au malware et estime qu’il pourrait y avoir un total de 80 domaines utilisés par les hackers pour communiquer avec leur bébé.
Une complexité incroyable
Flame est en ce moment en train d’être décortiqué par des dizaines de chercheurs en sécurité… Mais tenter d’en percer les secrets va représenter un travail colossal, estimé à une bonne année : il s’agit en effet d’un des logiciels malveillants les plus imposants jamais repérés. « Sa taille est impressionnante. Alors qu’un maliciel classique ne pèse pas plus de 20 ko, Stuxnet pesait déjà 600 ko, mais Flame, lui, peut atteindre jusqu’à 20 Mo ! » nous indique Laurent Heslaut, directeur des stratégies de sécurité chez Symantec.

Il précise aussi pourquoi ce malware est si gros : « Alors que Stuxnet n’était qu’un outil à tête chercheuse, pour une tâche précise, nous sommes ici devant une véritable boîte à outils dont on n'a pas encore fini de lister les outils ! Flame est extrêmement modulaire, mais contient aussi de nombreux mécanismes en mesure de nous empêcher de le décrypter trop vite et de remonter jusqu’aux auteurs... » D’après Alexander Gostev, Flame « consiste en de nombreux plug-in différents – jusqu’à 20 – qui ont tous des rôles précis. Une machine infectée par Flame peut en héberger 7 seulement, alors qu’une autre en hébergera 15. Cela dépend des informations soutirées à la victime et de la durée de l’infection. »
Ce kit du parfait espion n’a été débusqué que sur quelques centaines de machines, dans des entreprises et… chez des particuliers. Problème : on ne sait même pas comment les pirates sont parvenus à l’implanter. « Nous sommes sur la piste d’une ou de plusieurs failles zero day* », nous révèle Laurent Heslaut. Rappelons que Stuxnet avait recours à pas moins de quatre failles zero day, un chiffre exceptionnel qui prouve les investissements importants mis à l’œuvre durant sa conception. Il est probable que Flame ait infecté les machines cibles à la suite d’un message personnalisé, particulièrement bien conçu, envoyé à la victime par mail par exemple.
Une fois installé sur une machine, Flame peut ensuite se répliquer en passant par le réseau local ou par le biais de clés USB. « Il se propage avec parcimonie et évite ainsi les risques de détection », nous confie Laurent Heslaut. Il est également capable de s’autodétruire pour ne plus laisser la moindre trace une fois le forfait du pirate accompli.
Qui est derrière ce faux cousin de Stuxnet ?
À mesure que les experts le dissèqueront, nous en apprendrons davantage sur ce code épatant. Alexander Gostev indique « qu’il n’a pas de similarités majeures avec Stuxnet et Duqu », mais « qu’il y a toutefois des liens qui pourraient indiquer que les créateurs de Flame ont eu accès à la technologie utilisée dans le projet Stuxnet, comme la méthode d’infection par le fichier autorun.inf. » Le chercheur estime toutefois que les deux codes ont été sans doute développés par des équipes différentes.
Il sera en tout cas très difficile de découvrir qui se cache derrière cette menace particulièrement élaborée. « Tout ce que l’on peut dire, c’est que ce n’est pas l’œuvre d’un amateur, ni de cybercriminels au sens financier du terme, ni d'hacktivistes. C’est une opération largement financée, planifiée », nous indique M. Heslaut.
« La géographie des cibles et la complexité de la menace ne laisse aucun doute sur le fait qu’une nation a financé la recherche qui a mené à Flame », s’aventure même M. Gostev. Savoir laquelle va représenter un problème autrement plus complexe.
*Les zero day sont des failles préalablement inconnues, contre lesquelles il n’existe aucune contre-mesure.
-
Serge352
tu n'as qu'à bien lire l'article, il y a une copie d'écran qui montre ces fameuses "lignes de code" que tu demandais...
"RTFA" comme on dit.
Et tant Kaspersky qu'un labo de recherche (en Hogrie si je me souviens bien) ont publié une étude aussi complète que possible à l'heure actuelle) -
Serge352
Ben voyons... et tu crois aussi que le VIH est une invention des laboratoires de recherche pour nous siphonner des dons et nous vendre des médocs ?
Le bon sens est aux abonnés absents... mais ce n'est pas grave, c'est à cause de ce raisonnement que j'ai du boulot (hélas) -
juno_106
c'est peut-être pas si bête que cela peut paraître: en effet lors qu'on voit où se trouvent les cibles touchées par ce virus, un certain nombre de journalistes, pas des cadors ou paranos de base n'hésitent pas à montrer du doigt les services secrets états-uniens ou israeliens, dans cette histoire, le stupide regarde le doigt. Cependant, je suis tout à fait d'accord, que la protection antivirale nous facilite la tâche, bienqu'il faille rester vigilants.
-
Tigzy
La logique de "impressionnant" c'est "gros" "énorme" ou "imposant".
Il n'y a même pas besoin de réfléchir outre mesure...
1 ko de code c'est un hello world, tu trouves ça impressionnant?
Tu as jeté un coup d'oeil aux fichiers du malware? parce que oui c'est impressionnant : une 15aine de modules ayant chacun des fonctionnalités bien ciblées et super complexes.
PS: Non je n'ai pas compris si ton message était de l'ironie, ou juste de l'ignorance. -
KingKong75
Justement, c'est du pur code.
Justement, ca fait beaucoup pour un virus.
Justement, les 1ere version de windows avec des images et du son ne faisait pas autant.
En logique, tu as eu quelle note quand t'étais au primaire ? -
Waff Waff
Sous Windows... Tout ce que vous faites sous un système d'exploitation public devrait être classifié "public" !
Tout antivirus tournant sous Windows est lui même soumis aux vulnérabilités de Windows (et l'on en découvre de nouvelles pratiquement chaque jour !).
Pour vivre heureux, vivez cachés !
Une bonne nouvelle pour finir : 100 fois plus de code, c'est 100 fois plus difficile à masquer, et donc à démasquer.
Waff waff ! -
Tigzy
Regarde un peu l'actualité sur Twitter #Flame , tu verras que Kaspersky a beau être le premier a avoir découvert le malware, tous les labos (mêmes indépendants) sont sur le pieds de guerre, et les reversers du monde entier ont commencé à le reverser et à écrire dessus.
C'est sur le ton de la plaisanterie, mais ça montre un sérieux manque de respect pour les gens qui vous protège tous les jours contre ce genre de menaces. -
Tigzy
Oui, 20Mo de code, c'est beaucoup.
Surtout pour un malware épuré à la main et passé dans des moulinettes de packers / obfuscators.
La complexité ne réside pas dans la taille, mais vraiment dans la palette de fonctionnalités présentes. Si tu lis l'analyse de Kaspersky, tu verras que parmi les bidules qui captures les frappes clavier/ screenchots, il y a aussi tout un monitoring audio via le micro, et un listing via bluetooth des appareils presents à portée (possibilité d'exploiter une faille BT pour s'introduire dedans?).
Le malware fait également de l'espionnage de registre à distance pour récupérer des infos sur la suite de sécurité utilisée dans le réseau local.
Il peut aussi récupérer les mots de passe VPN et les transmettre au C&C
C'est bien 20Mo de CODE, pas de données genre images/sons etc...
Un OS comporte des images, des sons, voire des vidéos, et ça grimpe vite. Donc l'analogie avec Windows - 10 Mo ne tient pas -
Tigzy
... il ne se réplique pas au sein de son hôte. C'est plutôt un ver avec des fonctionnalités de Trojan / Keylogger.
Et il n'est pas indétectable, au contraire. Point de rootkit dedans.
C'est juste que comme il est très ciblé (moins de 1000 PC infectés dans le monde) les AVs ont mis du temps à le voir.
C'est comme les maladies. Moins c'est répandu chez toi, et plus tu as de chance de tomber malade une fois en face. (anticorps non présents) -
Tigzy
Le code, tu l'as, il suffit de prendre tes mimines et de chercher sur Google.
Par contre c'est du pseudo-code, je vois pas comment les éditeurs d'AVs pourraient avoir le CS...
CrySyS analysis:
http://www.crysys.hu/skywiper/skywiper.pdf
Bitdefender:
http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/
Les fichiers du malware (prendre avec précaution):
http://code.google.com/p/malware-lu/wiki/en_malware_flamer
Les éditeurs AV ne font PAS de malwares.
Les groupes qui les codent sont très connus et reconnus dans le milieu, et sont reconnaissables entre plusieurs variantes d'un malware. il faut savoir que bien souvent, ils font ça uniquement pour ça (et pour l'argent aussi), et avoir un travail "correct" par la suite.
Votre opinion