Les prédictions sur la sécurité informatiques convergent actuellement : si les machines sont globalement mieux protégées, les menaces se font de plus en plus évoluées. Ainsi, l’éditeur russe Kaspersky indique enquêter sur ce qu’il présente comme le malware le plus sophistiqué jamais découvert dans ses locaux, Flame.
Flame est un malware au sens plus que large. Il s’agit dans les grandes lignes d’un kit d’outils possédant des fonctionnalités héritées des chevaux de Troie, des portes dérobées ou encore des vers. Selon les premiers élements, Flame partage de nombreuses caractéristiques communes avec Duqu et Stuxnet, dont nous avions déjà parlé, sans que rien ne permette d’affirmer qu’il s’agit des mêmes auteurs.
Une question de géographie tout d’abord à cause des zones touchées (Iran, Liban, Soudan, Syrie, Israël…), ou encore l’utilisation de failles très spécifiques. Notez qu’un autre éditeur, Symantec, travaille lui aussi sur « Flamer » et signale quelques autres pays : Cisjordanie, Hongrie, Russie ou encore Hong-Kong. Flame, Flamer ou même sKyWIper pour le département des télécommunications de l’université de Budapest puisqu’il a été confirmé qu’il s’agissait bien de la même menace. Le centre iranien des menaces informatiques recense lui aussi la menace sous l'appellation Flame.
Deuxièmement, et c’est le plus important, Flame est un malware extrêmement sophistiqué. Il possède plusieurs caractéristiques qui le rendent aussi atypique que délicat à analyser. La principale barrière est qu’il pèse pas moins de 20 Mo une fois installé et déployé dans une machine, une taille inhabituellement grande. Son champ d’action est là encore complexe car Flame est capable d’effectuer de très nombreuses manipulations : interception du clavier (keylogger), enregistrement de captures d’écran, enregistrement de conversations audio (tout ce qui passe par le micro) ou encore écoute du réseau local. Les données sont ensuite envoyées aux serveurs de contrôle à travers un canal chiffré SSL.
Même la date de création du malware pose problème : les auteurs ont visiblement modifié les dates de manière à ce que l’historique ne puisse pas être reconstitué. On trouve par exemple des années étranges telles que 1992, 1994 et 1995, mais Kaspersky est certain qu’il s’agit de fausses dates. Pour l’éditeur, Flame n’a pas été conçu avant 2010 mais est toujours en travaux. Les premières données sur son utilisation active semblent remonter à février ou mars 2010. L’appellation « Flame(r) » est en outre un choix arbitraire fait par Kaspersky et Symantec. Le kit d’outils n’a pas de nom absolu, mais le terme « Flame » est utilisé pour désigner les routines d’attaques et d’infection.
Le profil des cibles semble être pour sa part très large : tout ce qui est capable de contenir une certaine « intelligence », autrement dit des informations pratiques extraites des emails, bases de données, discussions, documents et autres. En clair, du cyber-espionnage à très large échelle pour toucher des institutions publiques comme des structures privées, en passant par des installations sensibles telles que les centrales nucléaires. Selon Kaspersky, quelques 5000 machines ont été touchées, la grande majorité en Iran.
Flame possède différents vecteurs d’attaques recensés. Par exemple, une méthode spécifique et « astucieuse » passant le fichier INF Autorun sur les clés USB et vue uniquement dans Stuxnet précédemment. La vulnérabilité MS10-061 qui exploite les scripts WMI pour imprimantes, les tâches distantes et sa présence sur le contrôleur de domaine avec des droits élevés (exécuté par l’administrateur) sont également déterminantes dans son processus de diffusion.
Reste qu’un élément semble sûr, autant pour Kaspersky que pour Symantec : Flame/Flamer est un kit très large dont l’infrastructure modulable a été conçue pour évoluer facilement. Les éditeurs pensent donc qu’il est là pour rester et que de nombreuses variantes sont à venir. Mais l’analyse de cette menace sera complexe. Kaspersky rappelle en effet que l’analyse de Stuxnet avait réclamé plusieurs mois, alors que le malware ne pesait que 500 Ko, à comparer aux 20 Mo de Flame. Enfin, les serveurs de commande, cachés derrière des domaines et sous-domaines, peuvent envoyer des ordres de désinstallation qui permettent à Flame de disparaître sans laisser la moindre trace.
Une menace surtout centrée sur le Moyen-Orient pour l'instant
Kaspersky explique sur son blog avoir été approché par l’ITU (International Telecommunication Union) des Nations Unies pour apporter une aide dans la traque contre un malware inconnu. Ce dernier se manifestait surtout par d’étranges suppressions de données sur des ordinateurs du Moyen-Orient. Une enquête qui a abouti par la découverte d’un malware, Worm.Win32.Flame, ou plus simplement Flame.Flame est un malware au sens plus que large. Il s’agit dans les grandes lignes d’un kit d’outils possédant des fonctionnalités héritées des chevaux de Troie, des portes dérobées ou encore des vers. Selon les premiers élements, Flame partage de nombreuses caractéristiques communes avec Duqu et Stuxnet, dont nous avions déjà parlé, sans que rien ne permette d’affirmer qu’il s’agit des mêmes auteurs.
Une question de géographie tout d’abord à cause des zones touchées (Iran, Liban, Soudan, Syrie, Israël…), ou encore l’utilisation de failles très spécifiques. Notez qu’un autre éditeur, Symantec, travaille lui aussi sur « Flamer » et signale quelques autres pays : Cisjordanie, Hongrie, Russie ou encore Hong-Kong. Flame, Flamer ou même sKyWIper pour le département des télécommunications de l’université de Budapest puisqu’il a été confirmé qu’il s’agissait bien de la même menace. Le centre iranien des menaces informatiques recense lui aussi la menace sous l'appellation Flame.
Une taille monstrueuse
Flame pose essentiellement deux gros problèmes. Premièrement, l’éditeur ne connaît pas encore le vecteur d’attaque initial du malware. Traduction : on le trouve sur de nombreuses machines du Moyen-Orient, mais personne ne sait d'où il est venu en premier lieu. Des suspicions s’orientent vers des failles spécifiques, en particulier la MS10-033 : une faille critique, corrigée en juin 2010, qui touchait une DLL de DirectShow, donc tous les Windows de XP à 7.Deuxièmement, et c’est le plus important, Flame est un malware extrêmement sophistiqué. Il possède plusieurs caractéristiques qui le rendent aussi atypique que délicat à analyser. La principale barrière est qu’il pèse pas moins de 20 Mo une fois installé et déployé dans une machine, une taille inhabituellement grande. Son champ d’action est là encore complexe car Flame est capable d’effectuer de très nombreuses manipulations : interception du clavier (keylogger), enregistrement de captures d’écran, enregistrement de conversations audio (tout ce qui passe par le micro) ou encore écoute du réseau local. Les données sont ensuite envoyées aux serveurs de contrôle à travers un canal chiffré SSL.
Une conception complexe à multiples facettes
La conception même de Flame a de quoi étonner. De très nombreuses bibliothèques sont incluses, telles que zlib, libbz2 et ppmd pour la compression, SQLite 3 pour les bases de données et même une machine virtuelle en langage de script LUA. D’ailleurs, une bonne partie du squelette de Flame est écrite en LUA, ce qui est là encore inhabituel, même si toutes les routines d’attaques sont compilées en C++. Plusieurs méthodes de chiffrement sont également utilisées, ainsi que des scripts WMI (Windows Management Instrumentation), batch (lots de commandes) et autres. Flame est également capable de transformer la machine en balise Bluetooth pour fournir des informations générales sur les appareils qui l’entourent.
Même la date de création du malware pose problème : les auteurs ont visiblement modifié les dates de manière à ce que l’historique ne puisse pas être reconstitué. On trouve par exemple des années étranges telles que 1992, 1994 et 1995, mais Kaspersky est certain qu’il s’agit de fausses dates. Pour l’éditeur, Flame n’a pas été conçu avant 2010 mais est toujours en travaux. Les premières données sur son utilisation active semblent remonter à février ou mars 2010. L’appellation « Flame(r) » est en outre un choix arbitraire fait par Kaspersky et Symantec. Le kit d’outils n’a pas de nom absolu, mais le terme « Flame » est utilisé pour désigner les routines d’attaques et d’infection.
Pour Kaspersky, Flame a été financé par un état
Mais l’aspect le plus singulier de cette menace est qu’il s’agit sans doute, pour Kaspersky, d’un projet financé au moins en partie par un état. Flame ne vole par exemple pas d’argent et n’a donc certainement pas été créé par des cybercriminels classiques. Il est encore différent des outils habituels des hacktivistes. Resteraient donc les Etats, un soupçon en outre alimenté par la géographie bien précise des zones d’attaques. Mais ce ne sont que des suppositions : les auteurs restent inconnus comme dans les cas de Stuxnet et Duqu.Le profil des cibles semble être pour sa part très large : tout ce qui est capable de contenir une certaine « intelligence », autrement dit des informations pratiques extraites des emails, bases de données, discussions, documents et autres. En clair, du cyber-espionnage à très large échelle pour toucher des institutions publiques comme des structures privées, en passant par des installations sensibles telles que les centrales nucléaires. Selon Kaspersky, quelques 5000 machines ont été touchées, la grande majorité en Iran.
Flame possède différents vecteurs d’attaques recensés. Par exemple, une méthode spécifique et « astucieuse » passant le fichier INF Autorun sur les clés USB et vue uniquement dans Stuxnet précédemment. La vulnérabilité MS10-061 qui exploite les scripts WMI pour imprimantes, les tâches distantes et sa présence sur le contrôleur de domaine avec des droits élevés (exécuté par l’administrateur) sont également déterminantes dans son processus de diffusion.
Reste qu’un élément semble sûr, autant pour Kaspersky que pour Symantec : Flame/Flamer est un kit très large dont l’infrastructure modulable a été conçue pour évoluer facilement. Les éditeurs pensent donc qu’il est là pour rester et que de nombreuses variantes sont à venir. Mais l’analyse de cette menace sera complexe. Kaspersky rappelle en effet que l’analyse de Stuxnet avait réclamé plusieurs mois, alors que le malware ne pesait que 500 Ko, à comparer aux 20 Mo de Flame. Enfin, les serveurs de commande, cachés derrière des domaines et sous-domaines, peuvent envoyer des ordres de désinstallation qui permettent à Flame de disparaître sans laisser la moindre trace.
