Miniflame có thể tạo ra làn sóng tấn công mạng lần thứ 2
31/10/2012
MiniFlame còn được gọi là SPE được các chuyên gia Kaspersky Lab phát hiện vào tháng 7/2012, ban đầu được xác định là một mô đun Flame. Tuy nhiên, vào tháng 9/2012, nhóm nghiên cứu của Kaspersly Lab đã tiến hành phân tích sâu hơn về các lệnh của Flame và hệ thống hệ thống kiểm soát (C&C). Các nhà phân tích đã phát hiện ra các mô đun miniFlame là một công cụ tương thích được sử dụng như là một chương trình hoạt động độc lập, hoặc là một chương trình kết nối để virus Flame và Gauss xâm nhập vào máy tính người dùng.
Các nhà phân tích phát hiện có nhiều phiên bản khác nhau của miniFlame được tạo ra trong thời gian 2010 và 2011 cùng với các biến thể khác vẫn hoạt động cho đến ngày nay. Các nhà phân tích cũng đã đưa thêm chứng cứ mới cho thấy có sự hợp tác giữa người tạo ra virus Flame và Gauss. Cả hai chương trình độc hại này đều có thể sử dụng miniFlame như là một công cụ phục vụ cho các hoạt động của chúng.
Những phát hiện chính về miniFlame:
• MiniFlame còn được gọi là SPE, được cấu tạo dựa trên cấu trúc của Flame và hoạt động như một chương trình gián điệp độc lập hoặc như một thành phần của virus Flame và Gauss.
• Công cụ gián điệp mạng hoạt động như một backdoor được thiết kế để lấy cắp dữ liệu và truy cập trực tiếp vào hệ thống bị nhiễm bệnh.
• Sự phát triển của miniFlame có thể được bắt đầu từ năm 2007 và tiếp tục cho đến cuối năm 2011. Các chuyên gia cũng chỉ ra rằng có nhiều biến thể đã được tạo ra. Cho đến nay, Kaspersky đã xác định được 6 trong số các biến thể của miniFlame bao gồm hai thế hệ lớn 4.x và 5.x
• Không giống như Flame hoặc Gauss có tỉ lệ lây nhiễm bệnh khá cao, tỉ lệ lây nhiễm của miniFlame nhỏ hơn nhiều. Theo số liệu của Kaspersky Lab, số lượng các máy bị nhiễm miniFlame là 10-20 máy. Tổng số lượng máy bị nhiễm trên thế giới là 50 -60 máy.
• Số lượng các máy bị nhiễm bệnh kết hợp cùng với tính năng lấy cắp dữ liệu và thiết kế linh hoạt của miniFlame đã chứng tỏ mục tiêu của loại virus này chính là nhắm vào các hoạt động gián điệp mạng và hoạt động này có thể được triển khai ngay bên trong các máy đã bị nhiễm Flame hoặc Gauss.
Phát hiện mới
Trong quá trình phân tích chuyên sâu về Flame và Gauss, các chuyên gia đã phát hiện ra phần mềm độc hại miniFlame. Trong tháng 7/2012, các chuyên gia Kaspersky Lab đã xác định được một mô đun phụ của Gauss có tên là “John” và các tài liệu có cùng mô đun trong các tập tin cấu hình của Flame. Trong tháng 9/2012, các phân tích về lệnh và điều khiển hệ thống máy của Flame đã được tiến hành nhằm tìm ra một chương trình độc hại riêng biệt mặc dù chương trình này có thể được sử dụng bởi Gauss và Flame. MiniFlam được phát hiện với tên mã là SPE nằm trong mã gốc của hệ thống máy chủ C& C của virusFlame.
Kaspersky Lab phát hiện ra 6 biến thể khác nhau của miniFlame, tất cả đều tồn tại từ 2010 – 2011. Bên cạnh đó, các phân tích cũng cho thấy rằng miniFlame đã phát triển từ rất sớm từ năm 2007. MiniFlame có khả năng được sử dụng như là một phần hỗ trợ của Flame hoặc Gauss. Kể từ khi mối liên kết của Flame và Stuxnet/Duqu bị phát hiện, có thể kết luận rằng tất cả các mối đe dọa hiện nay đều có cùng một nguồn gốc nhằm gây nên cuộc chiến tranh mạng.
Chức năng của miniFlame
Yếu tố lây nhiễm ban đầu của miniFlame vẫn chưa được xác định. Với mối quan hệ được phát hiện ra giữa miniFlame, Flame và Gauss, miniFlame có thể được cài đặt trên máy tính đã bị nhiễm virus Flame hoặc Gauss. Sau khi cài đặt, miniFlame hoạt động như một backdoor và cho phép các nhà khai thác lấy cắp bất kỳ một tập tin nào từ máy bị nhiễm bệnh. MiniFlame có khả năng chụp ảnh màn hình của một máy tính bị nhiễm khi máy đang chạy một chương trình hoặc ứng dụng như trình duyệt web, chương trình Microsoft Office, Adobe Reader, dịch vụ tin nhắn hoặc các tập tin được chuyển đi. MiniFlame cập nhật các dữ liệu bị đánh cắp bằng cách kết nối với máy chủ C & C độc lập hoặc có thể kết hợp với hệ thống máy chủ của Flame. Khi hệ thống máy chủ C & C của miniFlame phát lệnh, một mô đun đánh cắp dữ liệu có thể được gửi đến hệ thống bị nhiễm và lây sang USB, sử dụng mô đun để thu thập dữ kiệu mà không cần có kết nối internet.
Alexander Goster, trưởng nhóm chuyên gia bảo mật Kaspersky Lab nhận xét: “miniFlame là một công cụ tấn công có tính chính xác cao. Rất có thể đây là một vũ khí nhằm tạo ra làn sóng tấn công mạng lần thứ 2. Đầu tiên, virus Flame hoặc Gauss được sử dụng để lây nhiễm vào các hệ thống máy càng nhiều cành tốt nhằm thu thập một lượng lớn các thông tin. Sau khi dữ liệu được thu thập và lọc dữ liệu, nạn nhân có lượng thông tin đúng mục tiêu tìm kiếm của miniFlame sẽ được xác định, miniFlame sẽ tiến hành giám sát chuyên sâu và tiến hành các hoạt động gián điệp mạng. Việc phát hiện ra miniFlame đã chứng minh có sự hợp tác giữa những người sáng tạo chương trình độc hại được sử dụng cho hoạt động chiến tranh mạnh như: Stuxnet, Duqu, Flame và Gauss.”
Điều tra nghiên cứu của Kaspersky Lab được sự hỗ trợ của CERT-Bund/BSI, trung tâm ứng cứu khẩn cấp máy tính cho các cơ quan liên bang.
Xem thông tin chi tiết và báo cáo đầy đủ về miniFlame tại:
http://www.securelist.com/en/analysis/204792247/miniFlame_aka_SPE_Elvis_and_his_friends