Combatiendo a Flame

El autor plantea que "la advertencia más seria que jamás hemos lanzado", según la ONU, no es para tanto


La semana comenzó con una pieza compleja de software malicioso también conocido como Flame/Flamer/SkyWiper que fue inmediatamente promocionado como el malware más sofisticado. La Unión Internacional de Telecomunicaciones (UIT) en la ONU dio a conocer lo que ellos describen como "la advertencia más seria que jamás hemos lanzado", (aunque al parecer no lo suficientemente grave como para ofrecerlo en su página web). Esta afirmación fue corroborada por declaraciones de que Flame es "20 veces más compleja [que Stuxnet]. Nos llevará 10 años comprender completamente todo", un indicador superior que me parece un tanto inestable o poco firme. Symantec incluso lo ha comparado con "un arma atómica".

Ayer, al hablar con un periodista, la primera pregunta que me hizo fue “¿Qué hace que esta amenaza sea única?”, y honestamente me fue difícil encontrar una respuesta con la que sentirme cómodo. Eso, combinado con el revuelo con el que me he despertado esta mañana, provocó que me viera obligado a escribir.




Las funcionalidades y características de las que se informan sobre Flame hacen referencia a temas como su preciso enfoque geográfico, la naturaleza modular del código (diferentes módulos funcionales pueden ser conectados a un dispositivo infectado en caso necesario, su capacidad para utilizar hardware local como micrófonos, pulsaciones de teclado o la grabación de la actividad de la pantalla. El hecho de que éstas se centren en Oriente Medio y que utilicen una vulnerabilidad de ejecución automática específica son motivos aparentemente suficientes para justificar la relación entre Flame y Stuxnet.

Los ataques de espionaje dirigidos a zonas geográficas específicas o a sectores industriales concretos no son nada nuevo, ahí están los ejemplos de LuckyCat, IXESHE o cualquiera de los cientos que recientemente se han registrado. La arquitectura modular del malware ha sido durante muchos años, junto con los desarrolladores que ofrecen módulos escritos a medida de las especificaciones del cliente, los requisitos sobre los que se asientan herramientas tales como Zeus o SpyEye; Carberp es otro gran ejemplo de troyano modular que roba información.

De hecho, recientemente ya se ha encontrado una variante de SpyEye que utilizaba hardware local como cámaras y micrófonos para grabar a la víctima, al igual que Flame y al igual que DarkComet RAT. Infraestructuras de distribución maliciosas, tales como Smoke Malware Loader prometen cargas secuenciales de archivos ejecutables y orientados geográficamente (entre otras muchas cosas).

La clave de registro no es, por supuesto, nada nuevo y no está llevando a cabo la captura de tráfico de red o la extracción de información robada. La complejidad del código tampoco es nada nuevo, basta con echar un vistazo a TDL4, considerar la rápida adopción de Conficker de MD6 o sus tácticas de generación de dominio.

Entonces, ¿qué nos queda? Una gran pieza de código (de hasta 20 MB), que es único en términos de malware, sin duda, pero no es impresionante en sí mismo. El malware utiliza un lenguaje de programación imperativo, estructurado llamado Lua, que es único en términos de malware, supongo, pero no es algo que eleve el riesgo inherente. Flame tiene la función de Bluetooth, aunque…

Curiosamente, justo antes de las noticias sobre Flame golpearan los cables, la UIT en la ONU lanzó un comunicado de prensa anunciando que un fabricante de seguridad se había unido a su evento Telecom World 2012, increíble ¡qué oportuno!, ¿no?

Rik Ferguson es director de investigación de Seguridad y Comunicaciones de Trend Micro.





[RIGHT]Fuente:ElPais Tecnología.[/RIGHT]