Flamme (programme malveillant) - Flame (malware)
Flame , également connu sous le nom de Flamer , sKyWIper et Skywiper , est un logiciel malveillant informatique modulaire découvert en 2012 qui attaque les ordinateurs exécutant le système d'exploitation Microsoft Windows . Le programme est utilisé pour le cyberespionnage ciblé dans les pays du Moyen-Orient .
Sa découverte a été annoncée le 28 mai 2012 par le Centre MAHER de l'équipe nationale iranienne d'intervention en cas d'urgence informatique (CERT), Kaspersky Lab et CrySyS Lab de l' Université de technologie et d'économie de Budapest . Le dernier d'entre eux a déclaré dans son rapport que Flame « est certainement le malware le plus sophistiqué que nous ayons rencontré au cours de notre pratique ; c'est sans doute le malware le plus complexe jamais trouvé ». La flamme peut se propager à d'autres systèmes via un réseau local (LAN). Il peut enregistrer de l'audio, des captures d'écran , l' activité du clavier et le trafic réseau . Le programme enregistre également les conversations Skype et peut transformer les ordinateurs infectés en balises Bluetooth qui tentent de télécharger les informations de contact à partir des appareils compatibles Bluetooth à proximité. Ces données, ainsi que les documents stockés localement, sont envoyés à l'un des nombreux serveurs de commande et de contrôle dispersés dans le monde. Le programme attend alors d'autres instructions de ces serveurs.
Selon les estimations de Kaspersky en mai 2012, Flame avait initialement infecté environ 1 000 machines, faisant des victimes parmi lesquelles des organisations gouvernementales, des établissements d'enseignement et des particuliers. À cette époque, 65 % des infections se sont produites en Iran, en Israël, en Palestine, au Soudan, en Syrie, au Liban, en Arabie saoudite et en Égypte, avec une « énorme majorité de cibles » en Iran. Des flammes ont également été signalées en Europe et en Amérique du Nord. Flame prend en charge une commande "kill" qui efface toutes les traces du malware de l'ordinateur. Les infections initiales de Flame ont cessé de fonctionner après son exposition publique et la commande "kill" a été envoyée.
Flame est lié au groupe d' équations de Kaspersky Lab. Cependant, Costin Raiu, directeur de l'équipe mondiale de recherche et d'analyse de Kaspersky Lab, pense que le groupe ne coopère avec les créateurs de Flame et Stuxnet qu'en position de supériorité : « Equation Group est définitivement le maître, et il donne aux autres, peut-être , des miettes de pain. De temps en temps, ils leur donnent des friandises à intégrer dans Stuxnet et Flame."
En 2019, les chercheurs Juan Andres Guerrero-Saade et Silas Cutler ont annoncé leur découverte de la résurgence de la flamme. Les attaquants ont utilisé le « timestomping » pour donner l'impression que les nouveaux échantillons ont été créés avant la commande « suicide ». Cependant, une erreur de compilation incluait la date de compilation réelle (vers 2014). La nouvelle version (surnommée « Flame 2.0 » par les chercheurs) comprend de nouveaux mécanismes de cryptage et d'obscurcissement pour masquer ses fonctionnalités.
Histoire
Flamme (aka Da Flame) a été identifié en Mai 2012 par MAHER Centre de CERT national iranien, Kaspersky Lab et CRYSYS Lab (Laboratoire de Cryptographie et Sécurité du système) de l'Université de Technologie de Budapest et de l' économie de Kaspersky Lab a été demandé par les Nations Unies internationale L'Union des télécommunications enquêtera sur les informations faisant état d'un virus affectant les ordinateurs du ministère iranien du Pétrole . Au cours de l'enquête de Kaspersky Lab, ils ont découvert un hachage et un nom de fichier MD5 qui n'apparaissaient que sur les machines des clients des pays du Moyen-Orient. Après avoir découvert plus de pièces, les chercheurs ont surnommé le programme "Flame" d'après l'un des principaux modules de la boîte à outils [FROG.DefaultAttacks.A-InstallFlame] .
Selon Kaspersky, Flame fonctionnait dans la nature depuis au moins février 2010. CrySyS Lab a signalé que le nom de fichier du composant principal avait été observé dès décembre 2007. Cependant, sa date de création n'a pas pu être déterminée directement, car la création les dates des modules du malware sont faussement fixées à des dates dès 1994.
Les informaticiens le considèrent comme la cause d'une attaque en avril 2012 qui a poussé des responsables iraniens à déconnecter leurs terminaux pétroliers d'Internet. À l'époque, l' agence de presse des étudiants iraniens avait qualifié le malware à l'origine de l'attaque de « Wiper », un nom qui lui avait été donné par le créateur du malware. Cependant, Kaspersky Lab pense que Flame peut être « une infection entièrement distincte » du malware Wiper. En raison de la taille et de la complexité du programme – décrit comme « vingt fois » plus compliqué que Stuxnet – le laboratoire a déclaré qu'une analyse complète pouvait nécessiter jusqu'à dix ans.
Le 28 mai, le CERT iranien a annoncé qu'il avait développé un programme de détection et un outil de suppression pour Flame, et qu'il les distribuait à des « organisations sélectionnées » depuis plusieurs semaines. Après l'exposition de Flame dans les médias, Symantec a rapporté le 8 juin que certains ordinateurs de commande et de contrôle (C&C) de Flame avaient envoyé une commande "suicide" aux PC infectés pour supprimer toute trace de Flame.
Selon les estimations de Kaspersky en mai 2012, Flame avait initialement infecté environ 1 000 machines, faisant des victimes parmi lesquelles des organisations gouvernementales, des établissements d'enseignement et des particuliers. A cette époque, les pays les plus touchés étaient l'Iran, Israël, les Territoires palestiniens, le Soudan, la Syrie, le Liban, l'Arabie saoudite et l'Égypte. Un échantillon du malware Flame est disponible sur GitHub
Opération
| Nom | La description |
|---|---|
| Flamme | Modules qui exécutent des fonctions d'attaque |
| Renforcer | Modules de collecte d'informations |
| Ballon | Un type de module d'attaque |
| Jimmy | Un type de module d'attaque |
| Croquer | Modules d'installation et de propagation |
| Grignoter | Modules de propagation locale |
| Observateur | Modules de numérisation |
| Transport | Modules de réplication |
| Euphorie | Modules de fuite de fichiers |
| Mal de crâne | Paramètres ou propriétés d'attaque |
Flame est un programme inhabituellement volumineux pour les logiciels malveillants de 20 mégaoctets . Il est écrit en partie dans le langage de script Lua avec du code C++ compilé lié et permet à d'autres modules d'attaque d'être chargés après l'infection initiale. Le malware utilise cinq méthodes de cryptage différentes et une base de données SQLite pour stocker des informations structurées. La méthode utilisée pour injecter du code dans divers processus est furtive, en ce sens que les modules malveillants n'apparaissent pas dans une liste des modules chargés dans un processus et que les pages mémoire des logiciels malveillants sont protégées par des autorisations LECTURE, ÉCRITURE et EXÉCUTION qui les rendent inaccessibles par l'utilisateur. applications de mode. Le code interne présente peu de similitudes avec d'autres logiciels malveillants, mais exploite deux des mêmes vulnérabilités de sécurité utilisées précédemment par Stuxnet pour infecter les systèmes. Le logiciel malveillant détermine quel logiciel antivirus est installé, puis personnalise son propre comportement (par exemple, en modifiant les extensions de nom de fichier qu'il utilise) pour réduire la probabilité de détection par ce logiciel. Des indicateurs supplémentaires de compromission incluent l'activité mutex et de registre , telle que l'installation d'un faux pilote audio que le logiciel malveillant utilise pour maintenir la persistance sur le système compromis.
Flame n'est pas conçu pour se désactiver automatiquement, mais prend en charge une fonction "kill" qui lui permet d'éliminer toute trace de ses fichiers et de son fonctionnement d'un système à la réception d'un module de ses contrôleurs.
Flame a été signé avec un certificat frauduleux prétendument de l'autorité de certification Microsoft Enforced Licensing Intermediate PCA. Les auteurs du logiciel malveillant ont identifié un certificat Microsoft Terminal Server Licensing Service qui a été activé par inadvertance pour la signature de code et qui utilisait toujours l' algorithme de hachage MD5 faible , puis ont produit une copie contrefaite du certificat qu'ils ont utilisé pour signer certains composants du logiciel malveillant pour les faire apparaître. provenir de Microsoft. Une attaque de collision réussie contre un certificat a déjà été démontrée en 2008, mais Flame a mis en œuvre une nouvelle variante de l'attaque de collision avec préfixe choisi.
| Propriété | Valeur |
|---|---|
| Certificat Microsoft compromis utilisant l' algorithme MD5 faible et l'utilisation involontaire de la signature de code | |
| Version | V3 |
| Numéro de série | 3a ab 11 de e5 2f 1b 19 d0 56 |
| Algorithme de signature | md5RSA |
| Algorithme de hachage de signature | md5 |
| Émetteur | CN = Microsoft Root Authority,OU = Microsoft Corporation,OU = Copyright (c) 1997 Microsoft Corp. |
| Valide à partir de | Jeudi 10 décembre 2009 11:55:35 |
| Valable pour | dimanche 23 octobre 2016 18:00 |
| Matière | CN = Microsoft Enforced Licensing Intermediate PCA, OU = Copyright (c) 1999 Microsoft Corp., O = Microsoft Corporation, L = Redmond, S = Washington, C = US |
| Clé publique |
30 82 01 0a 02 82 01 01 00 fa c9 3f 35 cb b4 42 4c 19 a8 98 e2 f4 e6 ca c5 b2 ff e9 29 25 63 9a b7 eb b9 28 2b a7 58 1f 05 df d8 f8 cf 4a f1 92 47 15 c0 b5 e0 42 32 37 82 99 d6 4b 3a 5a d6 7a 25 2a 9b 13 8f 75 75 cb 9e 52 c6 65 ab 6a 0a b5 7f 7f 20 69 a4 59 04 2c b7 b5 eb 7f 2c 0d 82 a8 3b 10 d1 7f a3 4e 39 e0 28 2c 39 f3 78 d4 84 77 36 ba 68 0f e8 5d e5 52 e1 6c e2 78 d6 d7 c6 b9 dc 7b 08 44 ad 7d 72 ee 4a f4 d6 5a a8 59 63 f4 a0 ee f3 28 55 7d 2b 78 68 2e 79 b6 1d e6 af 69 8a 09 ba 39 88 b4 92 65 0d 12 17 09 ea 2a a4 b8 4a 8e 40 f3 74 de a4 74 e5 08 5a 25 cc 80 7a 76 2e ee ff 21 4e b0 65 6c 64 50 5c ad 8f c6 59 9b 07 3e 05 f8 e5 92 cb d9 56 1d 30 0f 72 f0 ac a8 5d 43 41 ff c9 fd 5e fa 81 cc 3b dc f0 fd 56 4c 21 7c 7f 5e ed 73 30 3a 3f f2 e8 93 8b d5 f3 cd 0e 27 14 49 67 94 ce b9 25 02 03 01 00 01
|
| Améliorer l'utilisation des clés |
Signature de code (1.3.6.1.5.5.7.3.3) Licences de pack de clés (1.3.6.1.4.1.311.10.6.1) Vérification du serveur de licences (1.3.6.1.4.1.311.10.6.2) |
| Identifiant d'autorité | Émetteur du certificat : CN=Microsoft Root Authority, OU=Microsoft Corporation, OU=Copyright (c) 1997 Microsoft Corp.| Numéro de série du certificat=00 c1 00 8b 3c 3c 88 11 d1 3e f6 63 ec df 40 |
| Identificateur de clé de sujet |
6a 97 e0 c8 9f f4 49 b4 89 24 b3 e3 d1 a8 22 86 aa d4 94 43
|
| Utilisation des clés |
Signature numérique Signature de certificat Signature de liste de révocation de certificats hors ligne Signature de liste de révocation de certificats (86) |
| Contraintes de base | Type de sujet = Contrainte de longueur de chemin CA = Aucune |
| Algorithme d'empreinte digitale | sha1 |
| Empreinte |
2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
|
Déploiement
Comme les cyber-armes précédemment connues Stuxnet et Duqu , il est utilisé de manière ciblée et peut échapper aux logiciels de sécurité actuels grâce à la fonctionnalité de rootkit . Une fois qu'un système est infecté, Flame peut se propager à d'autres systèmes via un réseau local ou via une clé USB. Il peut enregistrer de l'audio, des captures d'écran, l'activité du clavier et le trafic réseau . Le programme enregistre également les conversations Skype et peut transformer les ordinateurs infectés en balises Bluetooth qui tentent de télécharger les informations de contact à partir des appareils compatibles Bluetooth à proximité. Ces données, ainsi que les documents stockés localement, sont envoyés à l'un des nombreux serveurs de commande et de contrôle dispersés dans le monde. Le programme attend alors d'autres instructions de ces serveurs.
Contrairement à Stuxnet, qui a été conçu pour saboter un processus industriel, Flame semble avoir été écrit uniquement pour l' espionnage . Il ne semble pas cibler une industrie en particulier, mais plutôt "une boîte à outils d'attaque complète conçue à des fins générales de cyber-espionnage".
En utilisant une technique connue sous le nom de gouffre , Kaspersky a démontré qu'« une grande majorité des cibles » se trouvaient en Iran, les attaquants recherchant particulièrement des dessins AutoCAD , des PDF et des fichiers texte . Des experts en informatique ont déclaré que le programme semblait rassembler des diagrammes techniques à des fins de renseignement.
Un réseau de 80 serveurs à travers l'Asie, l'Europe et l'Amérique du Nord a été utilisé pour accéder à distance aux machines infectées.
Origine
Le 19 juin 2012, le Washington Post a publié un article affirmant que Flame avait été développé conjointement par l' Agence de sécurité nationale des États- Unis , la CIA et l'armée israélienne au moins cinq ans auparavant. Le projet ferait partie d'un effort classifié portant le nom de code Jeux olympiques , qui visait à collecter des renseignements en vue d'une campagne de cyber-sabotage visant à ralentir les efforts nucléaires iraniens.
Selon le principal expert en logiciels malveillants de Kaspersky, « la géographie des cibles et la complexité de la menace ne laissent aucun doute sur le fait qu'il s'agit d'un État-nation qui a parrainé la recherche qui l'a menée ». Kaspersky a d'abord déclaré que le malware ne ressemblait en rien à Stuxnet, bien qu'il puisse s'agir d'un projet parallèle commandé par les mêmes attaquants. Après avoir analysé le code plus en détail, Kaspersky a déclaré plus tard qu'il existait une relation étroite entre Flame et Stuxnet ; la première version de Stuxnet contenait un code à propager via des clés USB qui est presque identique à un module Flame qui exploite la même vulnérabilité zero-day .
Le CERT iranien a décrit le cryptage du malware comme ayant « un schéma spécial que vous ne voyez venir que d'Israël ». Le Daily Telegraph a rapporté qu'en raison des cibles apparentes de Flame – qui comprenaient l'Iran, la Syrie et la Cisjordanie – Israël est devenu « le principal suspect de nombreux commentateurs ». D'autres commentateurs ont nommé la Chine et les États-Unis comme des auteurs possibles. Richard Silverstein , un commentateur critique de la politique israélienne, a affirmé qu'il avait confirmé auprès d'une « source israélienne de premier plan » que le malware avait été créé par des informaticiens israéliens. Le Jerusalem Post a écrit que le vice-Premier ministre israélien Moshe Yaalon semblait avoir laissé entendre que son gouvernement était responsable, mais un porte-parole israélien a nié plus tard que cela avait été implicite. Des responsables de la sécurité israéliens sans nom ont suggéré que les machines infectées trouvées en Israël pourraient impliquer que le virus pouvait être attribué aux États-Unis ou à d'autres pays occidentaux. Les États-Unis ont officiellement nié toute responsabilité.
Un document divulgué de la NSA mentionne que le traitement de la découverte de FLAME par l'Iran est un événement conjoint de la NSA et du GCHQ .