Gusano Win32/Flame: una amenaza compleja

El siguiente post es una traducción libre con adaptaciones de Win32/Flamer: the 21st Century Whale, publicado en el blog de ESET Norteamérica.

Es entendible que este gusano, que parece una amenaza sofisticada del punto de vista técnico y que ha sido detectado en muchas partes del mundo generando controversias políticas, haya promovido tanto interés. No obstante, las permanentes conjeturas acerca de la “propiedad” de la detección está oscureciendo de alguna manera el panorama.

El Equipo de Respuesta de Emergencias Computacionales de Irán (CERT) tenía la detección (pero no eliminación) de este malware ya en mayo, sin embargo otras empresas aseguran que está en la red desde marzo de 2010. De hecho, parece ser el mismo malware detectado por el Laboratorio de Criptografía y Seguridad en Sistemas de Budapest (CrySyS) como sKyWIper, el cual creen que esté activo hace más de 5 años. De todos modos, esas suposiciones acerca del tiempo podrían estar equivocadas ya que las fechas de compilación de los módulos han sido manipuladas para dificultar el análisis de los investigadores.

Asimismo, el laboratorio húngaro hizo un interesante análisis que no debería ser pasado por alto. Mientras parece mejor no agregar más a la existente confusión, aparentemente  el malware ha sido reportado en el Medio Oriente/Asia Occidental pero también en países de Europa del Este como Hungría. Por lo tanto,  si está realmente dirigido a un país específico todavía no es claro. Después de todo, hoy en día se asume que Stuxnet, por ejemplo, estaba dirigido a Irán, sin embargo fue originalmente detectado en un área mucho más amplia. Además, todo indica que Flame podría estar vinculado con Stuxnet y Duqu lo que parecería ser especulativo ya que la mayoría del código de la amenaza se ve bastante diferente.

Quizás, uno de los aspectos más interesantes es que el equipo iraní CERT ha compartido las muestras voluntariamente con empresas de seguridad incluso cuando muchas de estas sufren políticas restrictivas de negociación impuestas con Irán.

Todo este episodio recuerda de alguna manera al éxito que tuvo Whale en los años 90. Se trataba de un virus de gran tamaño, muy complejo y fuertemente armado que atrajo mucha atención para analizarlo. Como dijo Alan Solomon en su momento: “Mucho más análisis que el necesario para escribir la detección del virus”. Sin embargo, hay una diferencia, Whale fue muy significativo por la cantidad de técnicas que poseía, pero como malware, era apenas funcional. Por otro lado, Flame, aparenta ser muy efectivo para ser ignorado. En ese punto, es muy parecido a Stuxnet, nadie va a estar feliz hasta que no se tenga una mejor idea acerca de quién lo desarrolló y cuáles fueron sus motivos.

Autor , ESET

Síguenos