Como se había reportado inicialmente, el código tiene como blanco objetivo decenas de servidores y equipos de cómputo localizados en la región de Oriente Medio, particularmente Iran, sin embargo la mayoría de los análisis de firmas de seguridad IT colocan a Flame o Flamer como una amenaza mucho más compleja que Stuxnet y Duqu.

“Códigos como Stuxnet y Duqu nos tomaron meses de análisis y es claro que esta nueva amenaza será mucho más compleja. Para que se den una idea tan sólo uno de sus pequeños módulos encriptados cuanta con más de 7,000 líneas de comando en C, sin compilar que contienen más de 170 hilos de encripción”, compartió Peter Szor, jefe de investigación de McAfee en el blog de la compañía.

El experto confirmó que el nivel de complejidad de Flame es reflejo de años de desarrollo y de decenas de personas “dedicas en exclusiva al código”. Más aún, Szor advirtió que su rango de infección es infinitamente mayor al de Stuxnet o Duqu, pues los análisis preliminares detectaron variantes de la ciberamenaza en sistemas de Europa e Irán desde 2010.

Graham Cluley, CTO de Sophos informó que el análisis más completo de Skywiper, hasta el momento, fue realizado por el Laboratorio de Criptografía y Seguridad en Sistemas de Budapest (CrySyS).

El documento de 63 páginas en PDF, la institución subraya que, si bien comenzaron a analizar el código malicioso a principios de mayo, es claro que este “fue desarrollado por un gobierno o estado nación con el presupuesto y capacidades suficientes y fuertemente relacionado a actividades de ciberdefensa y ciberguerra”.

Cluley publicó en Naked Security, que Flame no sólo ha afectado sistemas en Medio Oriente, pues el análisis de CrySyS muestra infecciones en Hungría y otros países de Europa.

“Un aspecto interesante del reporte es la forma en que Skywiper evade los sistemas de detección de los software de Anti virus, al almacenar su código en formato .OCX, el cual no es analizado por estos programas en su configuración inicial. Más aún si el malware detecta la presencia de un sistema escaneo como McShield de McAfee, entonces guarda su código en formato .TMP”, explicó el CTO de Sophos.

Aunque analizar todo el código de Flame tomará varias meses, pues es 20 veces más grande que el de Stuxnet, afortunadamente no es necesario conocer cada línea de la amenaza para poder detectarla.

Mientras, el análisis de Symantec señala que Flame no sólo es capaz de robar información, pues también tiene la posibilidad de realizar capturas de pantalla de los ordenadores de los usuarios, diseminarse por medio de unidades USB, deshabilitar productos de proveedores de seguridad y, en determinadas condiciones, extenderse a otros sistemas.

La amenaza también puede tener la habilidad de apalancar múltiples vulnerabilidades conocidas y corregidas en Microsoft Windows, con el objeto de diseminarse a través de una red.

“Una telemetría inicial indica que los objetivos de esta amenaza están ubicados principalmente en la Cisjordania Palestina, Hungría, Irán y Líbano. Otros objetivos incluyen Rusia, Austria, Hong Kong y los Emiratos Árabes Unidos. Los sectores de la industria o asociaciones de personas que son objetivo actual de la amenaza no son claros”, cita el documento de la firma liberado a medios.

El análisis no ha concluido y las noticias sobre de Skywiper o Flame formarán parte de los medios especializados en los siguientes meses. Pero como escribió Alexander Gostev, analista de seguridad de Kaspersky, su nivel de desarrollo coloca a este gusano como la amenaza más avanzada detectada hasta el momento.

“Flame está escrito en LUA, un lenguaje de programación que fácilmente se puede extender o crear una interfaz con código en C. Algunas partes incluso están escritas con un orden lógico mucho mayor, con librerías incluso compiladas en C++. Nuestra estimación es que crear y hacer debugging de un módulo de 3,000 líneas de código en LUA le toma a un programador avanzado poco más de un mes y el paquete completo de Flame cuenta con 20 módulos”, explicó Gostev

Fuente: www.bsecure.com.mx