Flame (malware)

malware

Flame, ook bekend als Flamer en Skywiper, is modulaire malware ontdekt in mei 2012. De malware valt computers aan waarop het besturingssysteem Microsoft Windows staat geïnstalleerd.

"Flame" is een string in de broncode. Het is een alledaagse benaming voor aanvallen (meest waarschijnlijk exploits).

Ontdekking

bewerken

Het Flame-virus kon gedurende vijf jaar onzichtbaar blijven dankzij het gebruik van een feedback-module, die erin was geïntegreerd. Flame vertoont gelijkenissen met Stuxnet en Duqu.[1] De oorsprong van Flame is tot nu toe onbekend, maar er is wel geweten dat het virus het meest actief is in het Midden-Oosten en gebruikt wordt voor doelgerichte cyberspionage. De ontdekking werd publiek bekendgemaakt op 28 mei 2012 door het MAHER Center of Iranian National Computer Emergency Response Team (CERT), Kaspersky Lab en het CrySyS Lab van de Technische Universiteit Boedapest. Het CrySys Lab verklaarde in een rapport dat Skywiper de meest ingewikkelde malware was die ze tegenkwamen bij de oefening. Sterker nog, het is het meest complexe computervirus dat ooit gevonden werd.[2]

Werking

bewerken

Flame beschikt over allerlei modules, die in werking treden volgens de wensen van de ontwikkelaars. Eenmaal een computer met flame besmet is, treedt het virus in werking. Flame kan computerschermafbeeldingen doorsturen, onthoudt wat de gebruiker op zijn toetsenbord intikt en kan het netwerkverkeer afluisteren. Indien de computer voorzien is van een microfoon, kan het virus gesprekken opnemen en deze doorsturen naar zijn ontwikkelaars. Wat uniek is voor het Flame-virus is zijn capaciteit om gebruik te maken van Bluetoothverbindingen om het adressenboekje te kopiëren van iemand met een mobiele telefoon die in de buurt staat van de besmette computer. De gegevens worden doorgestuurd via control-and-command-servers, die wereldwijd verspreid staan. De kwantiteit van de gestolen informatie en hun bestemming is tot nu toe nog onbekend.

Zelfmoordmodule

bewerken

Flame beschikt over een zelfmoordmodule die de ontwikkelaars de mogelijkheid geven om het virus compleet te laten verdwijnen van een besmette computer. De ontwikkelaars maken gebruik van de control-and-commandservers om het bestand browse32.ocx op te sturen die het virus en het bestand zelf van de computer wissen. Om geen sporen na te laten verwijdert de zelfmoordmodule de lijst van de bestanden en mappen gebruikt door Flame en overschrijven die met willekeurige karakters.[3]

Miniflame

bewerken

In oktober 2012 dook een nieuw virus op die gelijkenissen vertoonde met Flame. Na nadere analyse bleek dat het ging om een zelfstandig opererende miniversie van Flame. De miniFlame is een flexibel spionagevirus dat hoogstwaarschijnlijk voor zeer gerichte spionageactiviteiten wordt gebruikt. De miniFlame is vermoedelijk in dezelfde cyberwapenfabriek gemaakt als Flame en Gauss. Het is een aanvalsinstrument dat zelfstandig kan functioneren, maar ook als component binnen Flame en andere malware. Het kleine virus nestelde zich vooral in computersystemen van een aantal Libanese banken, die ervan verdacht worden dat zij geld witwassen voor Iran en Hezbollah.[4]

Zie ook

bewerken
  NODES
INTERN 1
Note 1