Un nuovo programma nocivo progettato per operazioni di spionaggio informatico mirate è stato scoperto di recente da Kaspersky. Il programma è realizzato per sottrarre dati e controllare i sistemi infetti durante le operazioni di spionaggio mirate. Si tratta di miniFlame, conosciuto anche con il nome di SPE, ed è stato rilevato per la prima volta dai Kaspersky Lab nel luglio 2012, come un modulo di Flame.
Durante il mese di settembre sono state poi condotte analisi approfondite sui server Comand & Control (C&C) di Flame ed è emerso che il modulo miniFlame era in realtà uno strumento interoperabile, che poteva essere utilizzato come un programma nocivo indipendente o come plug-in per i malware Flame e Gauss. Dall’indagine è emerso anche la collaborazione tra i creatori di Flame e Gauss dal momento che entrambi i malware possono utilizzare miniFlame come plug-in nelle proprie operazioni.
Quando agisce come programma di spionaggio informatico indipendente miniFlame funziona come una backdoor progettata per rubare dati e vere un accesso diretto ai sistemi infetti. Altre funzionalità del programma in grado di sottrarre le informazioni includono la capacità di acquisire screenshot di un computer infetto mentre è in esecuzione un programma o un’applicazione specifica, come un browser Web, Microsoft Office, Adobe Reader, un servizio di instant message o un client Ftp.
“miniFlame è uno strumento di attacco molto preciso. Molto probabilmente è un’arma informatica utilizzata in quella che può essere definita come la seconda ondata di attacchi mirati” commenta Alexander Gostev, Chief Security Expert dei Kaspersky Lab. “Prima Flame e Gauss sono stati utilizzati per infettare il maggior numero di macchine e raccogliere grandi quantità di informazioni. Dopo che i dati sono stati raccolti e analizzati, viene identificata una vittima potenzialmente interessante e a questo punto miniFlame viene installato al fine di svolgere operazioni approfondite di spionaggio informatico. La scoperta di miniFlame è un’ulteriore dimostrazione della cooperazione fra i creatori dei più importanti programmi nocivi impiegati nelle operazioni della guerra informatica: Stuxnet, Duqu, Flame e Gauss”.
Lo sviluppo di miniFlame è iniziato nel 2007 ed è proseguito fino alle fine del 2011, quindi è probabile che siano state create molte varianti. Kaspersky Lab ne ha identificate sei fino a oggi che coprono due generazioni 4x e 5x. Ulteriori dettagli su miniFlame si possono trovare su Securelist.com.