CCN-CERT AL 02/12 Flame: amenaza destinada al ciberespionaje

Boletín de Alertas CCN-CERT

Flame: amenaza destinada al ciberespionaje

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, informa sobre un conjunto de herramientas de ataque recientemente descubiertas con el nombre de "Flame".Flame es una herramienta de espionaje cibernético altamente sofisticada detectada contra objetivos de Oriente Próximo y Europa del Este.

Análisis

Los investigadores de seguridad han clasificado Flame como un conjunto de herramientas de ataque, ya que contiene tres componentes principales:

  • Acceso backdoor para acceder a los sistemas infectados
  • Funcionalidad de troyano para llevar a cabo el robo de información
  • Permite infectar otros sistemas en red local o en dispositivos removibles

El software en cuestión es un malware de unos 20 MB de tamaño. Cuando infecta a una máquina primero carga unos 6 MB de código; entonces comienza a desplegar hasta 20 módulos distintos que realizan funciones más concretas de espionaje y ataque, según las circunstancias.Una vez infectada una máquina, puede reunir archivos de datos, cambiar la configuración de forma remota en los equipos e incluso encender los micrófonos de los equipos para grabar conversaciones cercanas, así como tomar capturas de pantalla y registrar los chats de mensajería instantánea y las comunicaciones telefónicas por VoIP. También puede activar las comunicaciones inalámbricas basadas en Bluetooth y comprometer dispositivos inalámbricos cercanos.



Numerosos investigadores de malware aseguran que el código tras el que se esconde Flame, también conocido como "sKyWIper", tiene numerosas semejanzas con Stuxnet y el gusano Duqu, ya que utiliza vulnerabilidades similares. Usa la técnica shell32.dll como método de propagación de ejecución automática y se propaga de una manera muy similar a Stuxnet, a través de la misma brecha de seguridad del sistema Windows de Microsoft. En cambio este software contiene hasta 20 veces más código que Stuxnet y tiene cerca de 100 veces más cantidad de código que un virus típico diseñado para robar información financiera.

En el Sistema de Alerta Temprana SAT Internet del CCN, se dispone de reglas de detección para este código dañino.Más información

Crysys.hu (sKyWIper: A complex malware for targeted attacks)
Cuckoo (Cuckoo in Flame)
FireEye (Flamer/Skywiper malware:analysis)
Kaspersky (The Flame: Questions and Answers)
Sourcefire (Flame Malware, Targeted Attacks and You)
Symantec (Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East)

Atentamente,Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Para establecer contacto, por favor, diríjase a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. Este correo ha sido codificado en formato ISO-8859-1. Si no visualiza ciertos caracteres especiales, cambie manualmente la configuración de su cliente de correo. //////////////////////////////////////////////////////////////////////////////////////////

Su misión es ser el centro de alerta y respuesta nacional que coopere y ayude a las administraciones públicas a responder, de forma rápida y eficiente, a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas.

La finalidad principal del CCN-CERT es contribuir a la mejora del nivel de seguridad de los sistemas de información de la Administración Pública española. La comunidad a la que presta servicio está constituida por el conjunto de organismos de las distintas administraciones: general, autonómica y local.

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Fingerprint: 4A7D 155F 38FA 2204 55F8 5E4C A62B AB99 7527 F5AF

Descarga: https://www.ccn-cert.cni.es/index.php?option=com_docman&task=doc_download&gid=113&lang=es

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Fingerprint: 0D4D BD59 ADCB 5466 0FB6 2529 C57E 8849 CE7B 4475

Descarga: https://www.ccn-cert.cni.es/index.php?option=com_docman&task=doc_download&gid=114&lang=es//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.
© 2012 Centro Criptológico Nacional - C/Argentona, 20 28023 MADRID www.ccn-cert.cni.es

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
Presidencia española. Consejo de la Unión Europea
CNI
CCN
CCN-CERT