Combatiendo a Flame

La semana comenz¨® con una pieza compleja de software malicioso tambi¨¦n conocido como Flame/Flamer/SkyWiper que fue inmediatamente promocionado como el malware m¨¢s sofisticado. La Uni¨®n Internacional de Telecomunicaciones (UIT) en la ONU dio a conocer lo que ellos describen como "la advertencia m¨¢s seria que jam¨¢s hemos lanzado", (aunque al parecer no lo suficientemente grave como para ofrecerlo en su p¨¢gina web). Esta afirmaci¨®n fue corroborada por declaraciones de que Flame es "20 veces m¨¢s compleja [que Stuxnet]. Nos llevar¨¢ 10 a?os comprender completamente todo", un indicador superior que me parece un tanto inestable o poco firme. Symantec incluso lo ha comparado con "un arma at¨®mica".

Ayer, al hablar con un periodista, la primera pregunta que me hizo fue ¡°?Qu¨¦ hace que esta amenaza sea ¨²nica?¡±, y honestamente me fue dif¨ªcil encontrar una respuesta con la que sentirme c¨®modo. Eso, combinado con el revuelo con el que me he despertado esta ma?ana, provoc¨® que me viera obligado a escribir.

Las funcionalidades y caracter¨ªsticas de las que se informan sobre Flame hacen referencia a temas como su preciso enfoque geogr¨¢fico, la naturaleza modular del c¨®digo (diferentes m¨®dulos funcionales pueden ser conectados a un dispositivo infectado en caso necesario, su capacidad para utilizar hardware local como micr¨®fonos, pulsaciones de teclado o la grabaci¨®n de la actividad de la pantalla. El hecho de que ¨¦stas se centren en Oriente Medio y que utilicen una vulnerabilidad de ejecuci¨®n autom¨¢tica espec¨ªfica son motivos aparentemente suficientes para justificar la relaci¨®n entre Flame y Stuxnet.

Los ataques de espionaje dirigidos a zonas geogr¨¢ficas espec¨ªficas o a sectores industriales concretos no son nada nuevo, ah¨ª est¨¢n los ejemplos de LuckyCat, IXESHE o cualquiera de los cientos que recientemente se han registrado. La arquitectura modular del malware ha sido durante muchos a?os, junto con los desarrolladores que ofrecen m¨®dulos escritos a medida de las especificaciones del cliente, los requisitos sobre los que se asientan herramientas tales como Zeus o SpyEye; Carberp es otro gran ejemplo de troyano modular que roba informaci¨®n.

De hecho, recientemente ya se ha encontrado una variante de SpyEye que utilizaba hardware local como c¨¢maras y micr¨®fonos para grabar a la v¨ªctima, al igual que Flame y al igual que DarkComet RAT. Infraestructuras de distribuci¨®n maliciosas, tales como Smoke Malware Loader prometen cargas secuenciales de archivos ejecutables y orientados geogr¨¢ficamente (entre otras muchas cosas).

La clave de registro no es, por supuesto, nada nuevo y no est¨¢ llevando a cabo la captura de tr¨¢fico de red o la extracci¨®n de informaci¨®n robada. La complejidad del c¨®digo tampoco es nada nuevo, basta con echar un vistazo a TDL4, considerar la r¨¢pida adopci¨®n de Conficker de MD6 o sus t¨¢cticas de generaci¨®n de dominio.

Entonces, ?qu¨¦ nos queda? Una gran pieza de c¨®digo (de hasta 20 MB), que es ¨²nico en t¨¦rminos de malware, sin duda, pero no es impresionante en s¨ª mismo. El malware utiliza Lua, que es ¨²nico en t¨¦rminos de malware, supongo, pero no es algo que eleve el riesgo inherente. Flame tiene la funci¨®n de Bluetooth, aunque¡­

Curiosamente, justo antes de las noticias sobre Flame golpearan los cables, la UIT en la ONU lanz¨® un comunicado de prensa anunciando que un fabricante de seguridad se hab¨ªa unido a su evento Telecom World 2012, incre¨ªble ?qu¨¦ oportuno!, ?no?