fbpx
Wikipedia

Flame (malware)

Septiembre 07, 2021

Flame,[nota 1]​ también conocido como Flamer, sKyWIper,[nota 2]​ y Skywiper,[1]​ es un malware modular descubierto en 2012[2][3]​ que ataca ordenadores con el sistema operativo Microsoft Windows.[4]​ El programa se ha usado para llevar a cabo ataques de ciber espionaje en países de Oriente Medio.[5][4][6]​ Su descubrimiento fue anunciado el 28 de mayo de 2012 por MAHER (el Equipo de Respuesta ante Emergencias Informáticas de Irán),[4]Kaspersky Lab[6]​ y el CrySyS Lab. de la Universidad de Tecnología y Economía de Budapest.[5]​ Este último afirma que "sKyWIper es el malware más sofisticado que hemos encontrado durante nuestros años de trabajo, es el malware más complejo que se ha encontrado".[5]

Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de teclado y tráfico de red.[6]​ El programa también graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener información de los dispositivos Bluetooth cercanos.[7]​ Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.[6]

De acuerdo a las estimaciones de Kaspersky, Flame ha infectado aproximadamente 1.000 máquinas.[7]​ Entre las víctimas se encuentran organizaciones gubernamentales, instituciones educativas y usuarios privados.[6]​ En mayo de 2012, los países más afectados son Irán, Israel, Sudán, Siria, Líbano, Arabia Saudí y Egipto.[2][6]

Historia

Flame fue identificado en mayo de 2012 por Kaspersky Lab, MAHER (el Equipo de Respuesta ante Emergencias Informáticas de Irán) y el CrySyS Lab de la Universidad de Tecnología y Economía de Budapest cuando la Unión Internacional de Telecomunicaciones pidió a Kaspersky Lab que investigara unos informes sobre un virus que estaba afectando a los ordenadores del Ministerio del Petróleo de Irán.[7]​ Mientras Kaspersky investigaba, encontraron un hash MD5 y un nombre de archivo que solo aparecía en ordenadores de Oriente Medio. Después de descubrir más piezas, los investigadores nombraron al programa como "Flame".[7]

Especificaciones

El malware tiene un tamaño inusualmente grande de 20 MB, está escrito parcialmente en el lenguaje de programación interpretado Lua con código C++ compilado y permite que otros módulos atacantes sean cargados después de la infección inicial.[6][8]​ El malware usa cinco métodos diferentes de cifrado y una base de datos SQLite para almacenar información.[5]​ El método usado para inyectar el código en varios procesos es silencioso, de forma que los módulos malware no aparecen en la lista de los módulos cargados en un proceso y las páginas de memoria son protegidas con los permisos READ, WRITE y EXECUTE que la hacen inaccesible para las aplicaciones en modo usuario.[5]​ El código interno tiene pocas similitudes con otros malware, pero aprovecha dos vulnerabilidades que también fueron usadas previamente por Stuxnet para infectar sistemas.[5]​ El malware determina qué software antivirus está instalado en el sistema y modifica su comportamiento (por ejemplo, cambiando la extensión de archivo que utiliza) para reducir la probabilidad de ser detectado por ese software.[5]​ Indicadores adicionales de que un sistema está infectado son la exclusión mutua (mutex) y la actividad del registro. También la instalación de un driver de audio falso que permite al software iniciarse al arrancar el sistema.[8]

Uso

Al igual que otras ciber-armas conocidas, Stuxnet y Duqu, Flame se emplea en objetivos concretos y puede eludir el software de seguridad actual a través de un rootkit.

Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de teclado y tráfico de red.[6]​ El programa también graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener información de los dispositivos bluetooth cercanos.[7]​ Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.[6]

A diferencia de Stuxnet, el cual fue diseñado para dañar procesos industriales, Flame parece haber sido escrito solo con propósitos de espionaje.[9]​ No parece dirigirse a un sector determinado, sino que más bien es "un conjunto de herramientas diseñadas para el ciber-espionaje". [10]

Flame no contiene una fecha predefinida en la cual se desactiva, pero permite a los operadores enviar un comando "kill" que elimina todos sus rastros de un sistema.[7]

Especulación sobre su origen

Según Eugene Kaspersky, "la ubicación geográfica de los objetivos y la complejidad de la amenaza no dejan dudas acerca de que existe un estado-nación apoyando el desarrollo de este malware."[2]​ También añade que este malware no se parece a Stuxnet, pero puede haber sido un proyecto paralelo solicitado por los mismos atacantes.[11]

El Equipo de Respuesta ante Emergencias Informáticas de Irán afirma que el cifrado del malware tiene "un patrón especial que solo se ve procedente de Israel."[12]The Daily Telegraph informó que debido a los aparentes objetivos, los cuales incluyen a Irán, Siria y Cisjordania, Israel se convirtió en "sospechoso de los comentaristas principales". Otros comentaristas nombraron a China y EE. UU. como posibles autores.[11]​ Richard Silverstein, un comentarista crítico con las políticas de Israel, declaró que él había confirmado con una "fuente israelí de alto rango" que el malware fue creado por expertos informáticos de Israel.[13][11]The Jerusalem Post escribió que el Viceprimer Ministro israelí Moshe Ya'alon parece haber dado a entender que su gobierno fue el responsable,[11]​ mientras que funcionarios de seguridad de Israel señalaron que las máquinas infectadas en Israel son una prueba de que EE. UU. está detrás del malware.[14]

Una red de 80 servidores a lo largo de Asia, Europa y América del Norte han sido usados para acceder a las máquinas infectadas de forma remota.[15]

Véase también

Enlaces externos

Virus flame: la primera bomba atómica de la ciberguerra

Notas

  1. "Flame" es una de las cadenas de texto encontradas en el código. También es un nombre usado comúnmente en los exploits para referirse a un ataque.
  2. El nombre "sKyWIper" deriva de las letras "KWI", las cuales son usadas como nombre parcial del archivo por el malware.

Referencias

  1. «Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East». Symantec. Archivado desde el original el 30 de mayo de 2012. Consultado el 30 de mayo de 2012. 
  2. Lee, Dave (28 de mayo de 2012). «Flame: Massive Cyber-Attack Discovered, Researchers Say». BBC News. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  3. McElroy, Damien; Williams, Christopher (28 de mayo de 2012). «Flame: World's Most Complex Computer Virus Exposed». The Daily Telegraph. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  4. «Identification of a New Targeted Cyber-Attack». Iran Computer Emergency Response Team. 28 de mayo de 2012. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  5. «sKyWIper: A Complex Malware for Targeted Attacks». Budapest University of Technology and Economics. 28 de mayo de 2012. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  6. Gostev, Alexander (28 de mayo de 2012). «The Flame: Questions and Answers». Securelist. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  7. Zetter, Kim (28 de mayo de 2012). «Meet ‘Flame,’ The Massive Spy Malware Infiltrating Iranian Computers». Wired. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  8. «Flamer/sKyWIper Malware Analysis». FireEye. Consultado el 30 de mayo de 2012. 
  9. Cohen, Reuven (28 de mayo de 2012). «New Massive Cyber-Attack an 'Industrial Vacuum Cleaner for Sensitive Information'». Forbes. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  10. Albanesius, Chloe (28 de mayo de 2012). «Massive 'Flame' Malware Stealing Data Across Middle East». PC Magazine. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  11. «Flame Virus: Who is Behind the World's Most Complicated Espionage Software?». The Daily Telegraph. 29 de mayo de 2012. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  12. Erdbrink, Thomas (29 de mayo de 2012). «Iran Confirms Attack by Virus That Collects Information». The New York Times. Archivado desde el original el 30 de mayo de 2012. Consultado el 30 de mayo de 2012. 
  13. Silverstein, Richard (28 de mayo de 2012). «Flame: Israel’s New Contribution to Middle East Cyberwar». Tikun Olam. Archivado desde el original el 30 de mayo de 2012. Consultado el 29 de mayo de 2012. 
  14. . Time. Associated Press. 31 de mayo de 2012. Archivado desde el original el 3 de junio de 2012. Consultado el 31 de mayo de 2012. 
  15. «Flame virus: Five facts to know». The Times of India. Reuters. 29 de mayo de 2012. Archivado desde el original el 23 de julio de 2012. Consultado el 30 de mayo de 2012. 
  •   Datos: Q1066619

Septiembre 07, 2021
flame, malware, flame, nota, también, conocido, como, flamer, skywiper, nota, skywiper, malware, modular, descubierto, 2012, ataca, ordenadores, sistema, operativo, microsoft, windows, programa, usado, para, llevar, cabo, ataques, ciber, espionaje, países, ori. Flame nota 1 tambien conocido como Flamer sKyWIper nota 2 y Skywiper 1 es un malware modular descubierto en 2012 2 3 que ataca ordenadores con el sistema operativo Microsoft Windows 4 El programa se ha usado para llevar a cabo ataques de ciber espionaje en paises de Oriente Medio 5 4 6 Su descubrimiento fue anunciado el 28 de mayo de 2012 por MAHER el Equipo de Respuesta ante Emergencias Informaticas de Iran 4 Kaspersky Lab 6 y el CrySyS Lab de la Universidad de Tecnologia y Economia de Budapest 5 Este ultimo afirma que sKyWIper es el malware mas sofisticado que hemos encontrado durante nuestros anos de trabajo es el malware mas complejo que se ha encontrado 5 Flame puede propagarse a otros sistemas a traves de la red de area local LAN y mediante memorias USB Puede grabar audio capturas de pantalla pulsaciones de teclado y trafico de red 6 El programa tambien graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener informacion de los dispositivos Bluetooth cercanos 7 Estos datos junto con los documentos almacenados en el ordenador son enviados a uno o varios servidores dispersos alrededor del mundo Cuando termina el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores 6 De acuerdo a las estimaciones de Kaspersky Flame ha infectado aproximadamente 1 000 maquinas 7 Entre las victimas se encuentran organizaciones gubernamentales instituciones educativas y usuarios privados 6 En mayo de 2012 los paises mas afectados son Iran Israel Sudan Siria Libano Arabia Saudi y Egipto 2 6 Indice 1 Historia 2 Especificaciones 3 Uso 4 Especulacion sobre su origen 5 Vease tambien 6 Enlaces externos 7 Notas 8 ReferenciasHistoria EditarFlame fue identificado en mayo de 2012 por Kaspersky Lab MAHER el Equipo de Respuesta ante Emergencias Informaticas de Iran y el CrySyS Lab de la Universidad de Tecnologia y Economia de Budapest cuando la Union Internacional de Telecomunicaciones pidio a Kaspersky Lab que investigara unos informes sobre un virus que estaba afectando a los ordenadores del Ministerio del Petroleo de Iran 7 Mientras Kaspersky investigaba encontraron un hash MD5 y un nombre de archivo que solo aparecia en ordenadores de Oriente Medio Despues de descubrir mas piezas los investigadores nombraron al programa como Flame 7 Especificaciones EditarEl malware tiene un tamano inusualmente grande de 20 MB esta escrito parcialmente en el lenguaje de programacion interpretado Lua con codigo C compilado y permite que otros modulos atacantes sean cargados despues de la infeccion inicial 6 8 El malware usa cinco metodos diferentes de cifrado y una base de datos SQLite para almacenar informacion 5 El metodo usado para inyectar el codigo en varios procesos es silencioso de forma que los modulos malware no aparecen en la lista de los modulos cargados en un proceso y las paginas de memoria son protegidas con los permisos READ WRITE y EXECUTE que la hacen inaccesible para las aplicaciones en modo usuario 5 El codigo interno tiene pocas similitudes con otros malware pero aprovecha dos vulnerabilidades que tambien fueron usadas previamente por Stuxnet para infectar sistemas 5 El malware determina que software antivirus esta instalado en el sistema y modifica su comportamiento por ejemplo cambiando la extension de archivo que utiliza para reducir la probabilidad de ser detectado por ese software 5 Indicadores adicionales de que un sistema esta infectado son la exclusion mutua mutex y la actividad del registro Tambien la instalacion de un driver de audio falso que permite al software iniciarse al arrancar el sistema 8 Uso EditarAl igual que otras ciber armas conocidas Stuxnet y Duqu Flame se emplea en objetivos concretos y puede eludir el software de seguridad actual a traves de un rootkit Flame puede propagarse a otros sistemas a traves de la red de area local LAN y mediante memorias USB Puede grabar audio capturas de pantalla pulsaciones de teclado y trafico de red 6 El programa tambien graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener informacion de los dispositivos bluetooth cercanos 7 Estos datos junto con los documentos almacenados en el ordenador son enviados a uno o varios servidores dispersos alrededor del mundo Cuando termina el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores 6 A diferencia de Stuxnet el cual fue disenado para danar procesos industriales Flame parece haber sido escrito solo con propositos de espionaje 9 No parece dirigirse a un sector determinado sino que mas bien es un conjunto de herramientas disenadas para el ciber espionaje 10 Flame no contiene una fecha predefinida en la cual se desactiva pero permite a los operadores enviar un comando kill que elimina todos sus rastros de un sistema 7 Especulacion sobre su origen EditarSegun Eugene Kaspersky la ubicacion geografica de los objetivos y la complejidad de la amenaza no dejan dudas acerca de que existe un estado nacion apoyando el desarrollo de este malware 2 Tambien anade que este malware no se parece a Stuxnet pero puede haber sido un proyecto paralelo solicitado por los mismos atacantes 11 El Equipo de Respuesta ante Emergencias Informaticas de Iran afirma que el cifrado del malware tiene un patron especial que solo se ve procedente de Israel 12 The Daily Telegraph informo que debido a los aparentes objetivos los cuales incluyen a Iran Siria y Cisjordania Israel se convirtio en sospechoso de los comentaristas principales Otros comentaristas nombraron a China y EE UU como posibles autores 11 Richard Silverstein un comentarista critico con las politicas de Israel declaro que el habia confirmado con una fuente israeli de alto rango que el malware fue creado por expertos informaticos de Israel 13 11 The Jerusalem Post escribio que el Viceprimer Ministro israeli Moshe Ya alon parece haber dado a entender que su gobierno fue el responsable 11 mientras que funcionarios de seguridad de Israel senalaron que las maquinas infectadas en Israel son una prueba de que EE UU esta detras del malware 14 Una red de 80 servidores a lo largo de Asia Europa y America del Norte han sido usados para acceder a las maquinas infectadas de forma remota 15 Vease tambien EditarStars virus informatico Stuxnet Duqu Guerra informatica Virus informaticoEnlaces externos EditarVirus flame la primera bomba atomica de la ciberguerraNotas Editar Flame es una de las cadenas de texto encontradas en el codigo Tambien es un nombre usado comunmente en los exploits para referirse a un ataque El nombre sKyWIper deriva de las letras KWI las cuales son usadas como nombre parcial del archivo por el malware Referencias Editar Flamer Highly Sophisticated and Discreet Threat Targets the Middle East Symantec Archivado desde el original el 30 de mayo de 2012 Consultado el 30 de mayo de 2012 a b c Lee Dave 28 de mayo de 2012 Flame Massive Cyber Attack Discovered Researchers Say BBC News Archivado desde el original el 30 de mayo de 2012 Consultado el 29 de mayo de 2012 McElroy Damien Williams Christopher 28 de mayo de 2012 Flame World s Most Complex Computer Virus Exposed The Daily Telegraph Archivado desde el original el 30 de mayo de 2012 Consultado el 29 de mayo de 2012 a b c Identification of a New Targeted Cyber Attack Iran Computer Emergency Response Team 28 de mayo de 2012 Archivado desde el original el 30 de mayo de 2012 Consultado el 29 de mayo de 2012 a b c d e f g sKyWIper A Complex Malware for Targeted Attacks Budapest University of Technology and Economics 28 de mayo de 2012 Archivado desde el original el 30 de mayo de 2012 Consultado el 29 de mayo de 2012 a b c d e f g h i Gostev Alexander 28 de mayo de 2012 The Flame Questions and Answers Securelist Archivado desde el original el 30 de mayo de 2012 Consultado el 29 de mayo de 2012 a b c d e f Zetter Kim 28 de mayo de 2012 Meet Flame The Massive Spy Malware Infiltrating Iranian Computers Wired Archivado desde el original el 30 de mayo de 2012 Consultado el 29 de mayo de 2012 a b Flamer sKyWIper Malware Analysis FireEye Consultado el 30 de mayo de 2012 Cohen Reuven 28 de mayo de 2012 New Massive Cyber Attack an Industrial Vacuum Cleaner for Sensitive Information Forbes Archivado desde el original el 30 de mayo de 2012 Consultado el 29 de mayo de 2012 Albanesius Chloe 28 de mayo de 2012 Massive Flame Malware Stealing Data Across Middle East PC Magazine Archivado desde el original el 30 de mayo de 2012 Consultado el 29 de mayo de 2012 a b c d Flame Virus Who is Behind the World s Most Complicated Espionage Software The Daily Telegraph 29 de mayo de 2012 Archivado desde el original el 30 de mayo de 2012 Consultado el 29 de mayo de 2012 Erdbrink Thomas 29 de mayo de 2012 Iran Confirms Attack by Virus That Collects Information The New York Times Archivado desde el original el 30 de mayo de 2012 Consultado el 30 de mayo de 2012 Silverstein Richard 28 de mayo de 2012 Flame Israel s New Contribution to Middle East Cyberwar Tikun Olam Archivado desde el original el 30 de mayo de 2012 Consultado el 29 de mayo de 2012 Iran Flame Virus Fight Began with Oil Attack Time Associated Press 31 de mayo de 2012 Archivado desde el original el 3 de junio de 2012 Consultado el 31 de mayo de 2012 Flame virus Five facts to know The Times of India Reuters 29 de mayo de 2012 Archivado desde el original el 23 de julio de 2012 Consultado el 30 de mayo de 2012 Datos Q1066619Obtenido de https es wikipedia org w index php title Flame malware amp oldid 119382490, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos