El malware Flame, descubierto el pasado mes de mayo luego de atacar a los sistemas informáticos del gobierno iraní, parece haber sido creado por los mismos autores que Stuxnet, el virus que infectó hace ya algún tiempo los sistemas de control de la central nuclear de Natanz, en ese propio país medioriental..
La relación entre ambos malware fue descubierta por la empresa de seguridad Kaspersky, según ha confirmado Alexander Gostev, uno de sus investigadores, en un post.
Inicialmente se había pensado que Flame y Stuxnet no estaban relacionados, a pesar de que ambos están diseñados para centrar sus ataques y tienen código complejos. “Resulta que estábamos equivocados cuando pensamos que Stuxnet y Flames eran dos proyectos no relacionados”, dice Gostev, para después afirmar que tras una investigación se descubrieron algunos hechos que transformaron lo que se sabía y que “vincularon a Stuxnet con Flame”.
El descubrimiento que revela cómo los equipos comparten código fuente de al menos un módulo en las primeras etapas de desarrollo prueban que los grupos cooperaron al menos una vez. “Lo que hemos descubierto es una evidencia muy fuerte de que las ciberarmas stuxnet/Duqu y Flame están conectadas”.
Este descubrimiento sugiere al mismo tiempo que Estados Unidos e Israel están detrás de los mayores ataques de malware sufridos en Irán, y además coincide con las últimas revelaciones de que el presidente Obama había ordenado que se incrementaran las capacidades de ciberguerra en Estados Unidos cuando ocupó su cargo.
En el blog, el analista de Kaspersky explica cómo se descubrió el enlace entre ambos malware, que comparten algunas similitudes a pesar de las complejas diferencias entre las dos variantes. Gostev explica que en octubre de 2010 el sistema automático de Kaspersky recibió una muestra que se clasificó como una nueva variante de Stuxnet aunque se decidió renombrarlo como Tocy.a. Años después, cuando Flame fue descubierto en 2012, se empezaron a buscar viejas muestras y reapareció Tocy.a. Aunque inicialmente este descubrimiento generó confusión, finalmente se descubrió un elemento de Flame dentro de Stuxnet, y por tanto la relación entre ambos malware.
Puede desaparecer sin dejar rastro
Cogidos en falta y con cientos de miles de ojos de expertos analizando Flame al detalle, los creadores del potente virus han ordenado a las máquinas infectadas que eliminen toda evidencia del malware.
Como lo lee. Sí, porque los padres de la "criatura" le incorporaron al diseño un sistema capaz de descargar y ejecutar un componente cuyo propósito está enfilado a eliminar todos los rastros con el fin de impedir su análisis forense. Así lo aseguran, al menos, investigadores de la empresa de seguridad Symantec.
Así las cosas, mientras los expertos prosiguen la autopsia de Flame, este, cual zombie, ha respondido dentro de las máquinas infectadas que siguen bajo su control a la orden de "multiplicarse por cero".
Flame tiene una característica incorporada conocida como Suicide que se puede utilizar para desinstalar el malware de las máquinas infectadas. Sin embargo, a finales de la semana pasada, los creadores de esta amenaza cibernética decidieron distribuir un módulo diferente para infectar los ordenadores que están conectados a los servidores que permanecen bajo su control, explica Symantec en un post.
El módulo se ha denominado browse32.ocx, su versión más reciente fue creada en los primeros días de mayo último y sus autores lo prefieren a Suicide porque además de localizar cada archivo de Flame en el disco y eliminarlo, sobrescribe el disco con caracteres aleatorios para impedir que se obtenga información sobre la infección. (Con información de ITespresso)
No hay comentarios:
Publicar un comentario