Onderzoekers van securitybedrijf Chronicle Security, onderdeel van Alphabet, hebben een nieuwe versie van de berucht Flame-malware ontdekt, zo hebben ze in een blogposting laten weten. Flame is modulaire malware die in 2012 werd ontdekt en was gebruikt voor cyberspionage in het Midden-Oosten.
Het werd "de meeste complexe malware ooit gevonden" genoemd. De ontwikkelaars van het Flame-virus zouden weer banden met de makers van Stuxnet hebben, de malware die de Iraanse uraniumverrijkingscentrale in Natanz als doelwit had en door de Amerikaanse en Israëlische autoriteiten zou zijn ontwikkeld. Flame viel onder andere op omdat het Windows Update gebruikte om systemen in een netwerk te infecteren.
Eenmaal actief op het netwerk van het slachtoffer nam Flame een man-in-the-middle positie in. Zodra de nog niet besmette computers met Windows Update verbinding probeerden te maken, maakten ze verbinding met de al met Flame besmette machine. Die stuurde vervolgens malafide Windows-updates naar de computers. Het ging hier in werkelijkheid om malware die van een legitiem Microsoft-certificaat was voorzien. Daardoor dacht Windows dat het om legitieme updates van Microsoft zelf ging en installeerde de malware via Windows Update.
Rond 2012 ontdekten onderzoekers tal van malware-exemplaren, zoals Stuxnet, Gauss, Duqu en Regin waarmee landen andere landen bespioneerden. De tooling die de onderzoekers destijds gebruikten was zeer beperkt. Tegenwoordig maken antivirusbedrijven gebruik van Yara-rules, de "retrohunt" optie van VirusTotal en andere tooling waardoor verbanden tussen exemplaren en andere malware veel sneller duidelijk worden. Onderzoekers van Chronicle Security besloten daarom aan de hand van gelekte slides van de Canadese geheime dienst te kijken wat onderzoekers destijds over het hoofd hebben gezien.
Op deze slides werd onder andere de term "GOSSIPGIRL" gebruikt. Volgens de onderzoekers van Chronicle Security gaat het hier om een "Supra Threat Actor", een samenwerkingsverband tussen verschillende spionagegroepen die voor meerdere zeer geavanceerde spionagemalware verantwoordelijk zijn. De gelekte slides van de Canadese geheime dienst en moderne tooling wezen de onderzoekers naar een verband tussen GOSSIPGIRL en de Flame-malware, alsmede Stuxnet en Duqu.
De grootste ontdekking had betrekking op Duqu. In mei 2012 verstuurden de makers van Flame een "SUICIDE" module naar besmette systemen om zo alle actieve infecties op te schonen en de resterende command & control-infrastructuur te vernietigen. Daardoor werd gedacht dat dit het einde van Flame was, maar volgens Chronicle Security heeft Flame zijn eigen einde in scene gezet en gingen de ontwikkelaars met een nieuwe versie aan de slag.
Zo maakt Flame 2.0 gebruik van AES-256 om de eigen secondaire scripts en payloads te versleutelen (pdf). Die worden na de initiële infectie op het systeem geplaatst. Onderzoekers zijn er nog niet in geslaagd deze encryptie te kraken, waardoor de inhoud van de scripts en payloads onbekend is. Wel denken de onderzoekers dat Flame 2.0 van 2014 tot 2016 is ingezet. Hoe de nieuwe Flame-versie werd verspreid is onbekend. De analyse laat zien dat de makers maatregelen hadden genomen om analyse door onderzoekers te bemoeilijken. Met de publicatie van de voorlopige onderzoeksresultaten hoopt Chronicle Security dat meer onderzoekers aan het onderzoek mee zullen doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.