Het Flame spionagevirus bestaat uit 650.000 regels code, dat uitgeprint 1,6 kilometer in beslag zou nemen. Toch is de kans groot dat de supermalware nog veel groter is. "Alles wijst erop dat dit niet alle code in de malware is en dat het mogelijk uit 750.000 regels C-code bestaat", zegt Peter Szor van anti-virusbedrijf McAfee. In het begin van de jaren 1990 werd virusanalyse een '100 meter toernooi' genoemd, merkt Szor op. De printjes van de code van deze virussen bestonden uit zo'n 100 meter aan printerpapier. "In het geval van Flame zou dit een wandeling van een mijl betekenen."

Spionage
Volgens het Nationaal Cyber Security Centrum (NSCS) van het ministerie van Veiligheid en Justitie is de Flame-malware 'niet nieuw'. De verspreiding lijkt op het gedrag van wormsoftware: een besmetting kan plaatsvinden via gerichte phishingaanvallen, via e-mail en websites. Hierna kan het zichzelf verspreiden via een netwerk en verwijderbare media zoals een USB-stick", zo is op de website van het NCSC te lezen.

"Het verzamelen van informatie gaat op gebruikelijke manieren zoals bij spyware het geval is; rechten op het systeem worden misbruikt om toegang te krijgen tot bestanden met mogelijk gevoelige informatie. Het gebruikt daarnaast de mogelijkheden van het systeem voor het maken van screenshots, aanslagen van het toetsenbord te ondervangen, beeld met behulp van webcams op te nemen, audio op te nemen via een microfoon en netwerkverkeer te onderscheppen. Het doel van de malware lijkt spionage te zijn."

Anti-virusindustrie
Mikko Hypponen van het Finse anti-virusbedrijf F-Secure trekt in een column voor Wired nogmaals heet boetekleed aan. In het archief van het anti-virusbedrijf werden Flame-exemplaren uit 2010 en 2011 gevonden. De malware was via een automatisch verzamelsysteem in bezit van de virusbestrijder gekomen, maar nooit als verdacht opgemerkt dat verder onderzoek vereiste.

"Dat betekent dat we allemaal deze malware twee jaar of meer niet hebben gedetecteerd. Dat is een falen van ons bedrijf en een falen van de anti-virusindustrie in het algemeen." Het is echter niet de eerste keer dat het gebeurt, merkt Hypponen op. Bij Stuxnet en Duqu deed zich hetzelfde voor.

Testen
De aanvallers hebben voordat ze de malware op hun slachtoffers loslieten, die eerst tegen alle bekende virusscanners getest, zodat die niet zou worden opgemerkt, gaat Hypponen verder. "Ze hebben onbeperkt de tijd om hun aanval te perfectioneren. Het is geen eerlijk gevecht tussen aanvallers en verdedigers als aanvallers toegang tot onze wapens hebben."

De Finse virusbestrijder stelt dat het verhaal met Flame nog niet voorbij is. "Het is zeer waarschijnlijk dat er soortgelijke aanvallen plaatsvinden die we nog niet hebben gedetecteerd. Samengevat, dit soort aanvallen werken. Flame was een falen voor de anti-virusindustrie. We hadden beter ons best moeten doen, maar dat deden we niet. We zijn op ons eigen terrein verslagen."