Flame, een nieuwe Israelische computerworm, die spioneert en data steelt

 Screenshot van Kaspersky.

Israel heeft een nieuwe bijdrage geleverd aan de beschaving. Niet alleen schijnen we te kunnen emailen en sms-sen dankzij Israelische vindingen, ook in het ontwikkelen van chips en firewalls waren de Israeli´s goed. Maar waar we de laatste tijd meer van horen is de Israelische vindingen op het gebied van virussen en malware. En ook daarin schijnt Israel uit te blinken. 
 Na Stuxnet (dat ingewikkeld industriële software sloopte zodat fabrieken kwamen stil te liggen), en Duqu (dat data stal) is er nu een derde loot aan de stam: Flame. Ook Flame schijnt data te laten verdwijnen. Het programma treedt op als een worm, die van computer tot computer wordt doorgegeven. Daar rooft het gegevens die worden doorgespeeld naar een onbekende bestemming, schrijft het Israelische Ynet. Ik denk dat we die bestemming wel kunnen raden. Vanzelfsprekend is Flame vooral actief in Iran. De Israelische geheime diensten zijn er immers steeds op uit de Iraanse nucleaire programma´s te saboteren.  Daarnaast is Flame kennelijk ook actief in Israel zelf en de bezette gebieden. Onderzoekers van Kaspersky, een bekend anti-virus lab schatten dat

....around 5,000 personal computers around the world have been infected by the virus, Iran being hit the hardest, with 189 infected computers, followed by Israel and the Palestinian territories (98 computers), Sudan (32), Syria (30),Lebanon (18), Saudi Arabia (10) and Egypt (5). 

Flame heeft een aantal tot nu toe onbekende nieuwe foefjes. Het kan afluisteren via de microfoon in de computer, het geluid op slaan en doorsturen, en ook kan het ´screenshots´ maken (en die doorsturen) als bijvoorbeeld ´interessante´ programma´s draaien op de pc. Kaspersky:
   

Although we are still analyzing the different modules, Flame appears to be able to record audio via the microphone, if one is present. It stores recorded audio in compressed format, which it does through the use of a public-source library.

Recorded data is sent to the C&C through a covert SSL channel, on a regular schedule. We are still analyzing this; more information will be available on our website soon.

The malware has the ability to regularly take screenshots; what’s more, it takes screenshots when certain “interesting” applications are run, for instance, IM’s. Screenshots are stored in compressed format and are regularly sent to the C&C server - just like the audio recordings.

We are still analyzing this component and will post more information when it becomes available.

Waar sturen de geïnfecteerde computers hun gecomprimeerde en gestolen data naar toe? Kaspersky is er nog niet helemaal achter. Er is sprake van een tiental domeinen (adressen) verspreid over diverse servers, op verschillende plaatsen in de wereld. Er kunnen nog meer adressen bestaan. Kaspersky denkt dat het in totaal wel 80 kunnen zijn:

 Several C&C servers exist, scattered around the world. We have counted about a dozen different C&C domains, run on several different servers. There could also be other related domains, which could possibly bring the total to around 80 different domains being used by the malware to contact the C&C. Because of this, it is really difficult to track usage of deployment of C&C servers.