Kaspersky Lab announces the discovery of a highly sophisticated malicious program that is actively being used as a cyber weapon attacking entities in several countries. The complexity and functionality of the newly discovered malicious program exceed those of all other cyber menaces known to date.
The malware was discovered by Kaspersky Lab’s experts during an investigation prompted by the International Telecommunication Union (ITU). The malicious program, detected as Worm.Win32.Flame by Kaspersky Lab’s security products, is designed to carry out cyber espionage. It can steal valuable information, including but not limited to computer display contents, information about targeted systems, stored files, contact data and even audio conversations.
The independent research was initiated by ITU and Kaspersky Lab after a series of incidents with another, still unknown, destructive malware program – codenamed Wiper – which deleted data on a number of computers in the Western Asia region. This particular malware is yet to be discovered, but during the analysis of these incidents, Kaspersky Lab’s experts, in coordination with ITU, came across a new type of malware, now known as Flame. Preliminary findings indicate that this malware has been “in the wild” for more than two years – since March 2010. Due to its extreme complexity, plus the targeted nature of the attacks, no security software detected it.
Kaspersky Lab and ITU Research Reveals New Advanced Cyber Threat
http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_and_ITU_Research_Reveals_New_Advanced_Cyber_Threat
Kaspersky Lab Experts Provide In-Depth Analysis of Flame’s C&C Infrastructure
http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_Experts_Provide_In_Depth_Analysis_of_Flames_Infrastructure
Although the features of Flame differ compared with those of previous notable cyber weapons such as Duqu and Stuxnet, the geography of attacks, use of specific software vulnerabilities, and the fact that only selected computers are being targeted all indicate that Flame belongs to the same category of super-cyberweapons.
Commenting on uncovering Flame, Eugene Kaspersky, CEO and co-founder of Kaspersky Lab, said: “The risk of cyber warfare has been one of the most serious topics in the field of information security for several years now. Stuxnet and Duqu belonged to a single chain of attacks, which raised cyberwar-related concerns worldwide. The Flame malware looks to be another phase in this war, and it’s important to understand that such cyber weapons can easily be used against any country. Unlike with conventional warfare, the more developed countries are actually the most vulnerable in this case.”
The primary purpose of Flame appears to be cyber espionage, by stealing information from infected machines. Such information is then sent to a network of command-and-control servers located in many different parts of the world. The diverse nature of the stolen information, which can include documents, screenshots, audio recordings and interception of network traffic, makes it one of the most advanced and complete attack-toolkits ever discovered. The exact infection vector has still to be revealed, but it is already clear that Flame has the ability to replicate over a local network using several methods, including the same printer vulnerability and USB infection method exploited by Stuxnet.
Alexander Gostev, Chief Security Expert at Kaspersky Lab, commented: “The preliminary findings of the research, conducted upon an urgent request from ITU, confirm the highly targeted nature of this malicious program. One of the most alarming facts is that the Flame cyber-attack campaign is currently in its active phase, and its operator is consistently surveilling infected systems, collecting information and targeting new systems to accomplish its unknown goals.”
Kaspersky Lab’s experts are currently conducting deeper analysis of Flame. Over the coming days a series of blog posts will reveal more details of the new threat as they become known. For now what is known is that it consists of multiple modules and is made up of several megabytes of executable code in total – making it around 20 times larger than Stuxnet, meaning that analysing this cyber weapon requires a large team of top-tier security experts and reverse engineers with vast experience in the cyber defence field.
ITU will use the ITU-IMPACT network, consisting of 142 countries and several industry players, including Kaspersky Lab, to alert governments and the technical community about this cyber threat, and to expedite the technical analysis.
U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say
Washington Post
https://kushima38.kagoyacloud.com/?p=30726
(sk)
Kaspersky Lab と International Telecommunication Union (ITU) が協力して見つけたコンピュータ・ウィルス、Flame。最強のサイバー兵器と考えられている。
作ったのは NSA と CIA とイスラエル軍。2010年3月に作られてから2012年5月に見つかるまでの2年以上ずっと黙っていて、見つかったらすぐにワシントン・ポストが、これはアメリカとイスラエルが共同開発したものだと書く。
もし見つかっていなければ、今でもこんなものがあるとは誰も知らないのだろう。というか、私たちが知らないサイバー兵器が、世界中のコンピュータの中に入り込んでいるのだろう。
正義の名の下に、どんなことでもしてしまうアメリカ、そしてイスラエル。自分たち以外が同じことをすれば、サイバー・テロと呼び、自分たちがやれば正義のためと言う。
見つけたのがロシアの会社と国連機関だったというのが、なんともいえずおかしい。
Flame に感染していないか簡単に「手動チェック」を行う方法
http://www.viruslistjp.com/analysis/?pubid=208193538
DEB93D.tmpという名称のファイル を検索します。このファイルが存在する場合、Flame に感染している、または感染していたと考えられます。
レジストリキー HKLM_SYSTEM\CurrentControlSet\Control\Lsa\ Authentication Packages をチェックします。
mssecmgr.ocx あるいは authpack.ocx が存在した場合、Flame に感染しています。
以下のディレクトリ群の存在をチェックします。存在している場合は感染しています。
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix
Flameとは?
http://www.kaspersky.co.jp/flame
Flameとは、標的型攻撃のサイバー兵器として数か国で使用が活発化している、非常に高度な悪意のあるプログラムです。
Kaspersky Labのエキスパートたちが国際電気通信連合(ITU)との調査において発見した Flameは、インターネット上でスパイ活動を行うプログラムです。 コンピュータ画面に表示された内容から、標的のシステムに関する情報、保存されているファイル、連絡先データ、会話の音声などの重要な情報を盗み出すことができます。 Flameは既知のどのサイバー兵器をも上回る複雑性と機能性を持っています。
Flameは手がかりをつかませないような設計をされていてこれまでに発見された中でも最強のサイバー兵器といえます。 従来のマルウェアが小さなプログラムで隠れてしまうように設計されていたのに対し、Flameは大型のプログラムにも関わらず検知から逃れています。 Flameは、Stuxnetという既知のサイバー兵器でしか使用されていない高度な技術を使ってコンピュータに感染します。 Flameは 2010 年 3 月から活動していたと見られますが、今回Kaspersky Labによって発見されるまで、いずれのセキュリティソフトウェアでも検知されることはありませんでした。
___________________
「Flameは、これまでに発見された脅威の中でもトップクラスの複雑さを備えたプログラムです。 巨大で、信じられないほど高度な機能を持ったプログラムです。Flameの出現により、サイバー戦争やサイバースパイ活動に対する考え方を根底から変えなくてはならないでしょう。」
アレクサンダー・ゴスチェフ(Alexander Gostev)
(Kaspersky Labのエキスパート)
___________________
Flameの脅威
Flameの標的は、個人から、政府関係組織や教育機関まで多岐にわたっています。 非常に高度なプログラムで大量のデータと多種多様な情報を盗み出すことができます。