Raffineret malware plager: Flame stjæler filer, optager lyd og billede

Den har formentlig eksisteret siden 2010, men dukkede først op til overfleaden i løbet af pinsen. It-sikkerhedsfirmaer beretter samstemmende om en yderst avanceret malware ved navn Flame eller Skywiper, der blandt andet kan indsamle følsomme data og optage lyd og billede fra en inficeret pc.

Sikkerhedsfirmaet CSIS beretter, at der er tale om en såkaldt Advanced Persistent Threat, og at Flame med stor sandsynlighed er udviklet af de samme personer, som stod bag Duqu-trojaneren, der også er relateret til Stuxnet-trojaneren.

Flame fylder omkring 17 megabyte inklusive diverse biblioteker og en LUA virtuel maskine. CSIS skriver i en e-mail, at det netop er i den del af koden, som er udviklet i LUA, at man har fundet flere referencer til til "flame_props," som altså har givet malwaren navn.

Flame er i stand til at optage lyd og billede gennem den inficerede maskines indbyggede mikrofon og kamera. Samtidig høster den data fra maskinen, som den sender tilbage til kommando- og kontrol-serveren (C&C-serveren) via SSL.

Symantec oplyser, at Flame kan, stjæle dokumenter, tage screenshots af brugernes computere, sprede sig via USB-drev, daktivere sikkerhedsprodukter samt sprede sig til andre systemer under visse betingelser.

»Dette er den mest sofistikerede trussel, vi har set til dato,« udtaler sikkerhedsekspert Peter Schjøtt fra Symantec i en pressemeddelelse

»Koden er betydelig større og mere kompleks end det, vi tidligere har set i internet-ormene Stuxnet og Duqu, og Flamers evne til at stjæle fortrolige oplysninger er også massiv. Ligesom Duqu og Stuxnet er denne kode sandsynligvis ikke skrevet af en enkelt person, men af en organiseret, finansieret gruppe af mennesker, der arbejder efter et defineret forskrift,« fortsætter han.

Selvom Antivirus-firmaerne først i løbet af søndag og mandag har udsendt advarsler om Flame, har CSIS' analyse af komponenterne vist, at delelementer har været i omløb lige siden starten af 2010.

Til gengæld tyder meget på, at at Flame er ekstremt målrettet. Pcmag.com citerer sikkerhedsfirmaet Kaspersky for 189 kramte maskiner, hvor langt hovedparten befinder sig i Mellemøsten og især i Iran.