CRONACHE ESTIVE DI CYBERWAR
Alla fine di maggio 2012 si è avuto, praticamente in con-
temporanea, l’annuncio della individuazione di Flame,
uno dei più sofisticati e critici codici maligni in azione, da
parte del Cert iraniano, da centri di ricerca universitari e
dai laboratori di Kaspersky, società fornitrice di soluzioni di
sicurezza e di antivirus. Flame, chiamato anche Flamer, sKy-
WIper, e Skywiper è un codice maligno modulare e po-
liedrico, operante su sistemi operativi Windows, focalizzato
allo spionaggio informatico e al furto di informazioni nei
Paesi mediorientali: ha infatti attaccato sistemi in Iran,
Israele, Sudan, Siria, Libano, Arabia Saudita ed Egitto.
Sono stati segnalati attacchi anche in Austria, Hong Kong,
Russia, Ungheria. La notizia più preoccupante è che Flame
è attivo da anni, probabilmente tra i due e i cinque, e solo
ora è stato individuato, a seguito della verifica dei danni
che ha provocato sui computer del Ministero del Petrolio ira-
niano. Date le sue caratteristiche, nel seguito illustrate, e la
sua diffusione in quell’area geografica, Flame rappresenta
un esempio reale di guerra informatica (cyberwar), oltre che
un esempio di APT, Advanced Persistent Threat, tipologia
di moderni attacchi illustrata nell’articolo di questa rubrica
pubblicato su Office Automation n. 4 di aprile 2011.
D
I COSA SI TRATTA
Flame è un programma complesso e di grandi dimen-
sioni, circa 20 MB, ed è costituito da più moduli finendo
LA SCOPERTA DI UNO DEI PIÙ SOFISTICATI CODICI MALIGNI,
FLAME, E IL FURTO DI MILIONI DI PASSWORD A LINKEDIN.
per essere circa 20 volte più grande di Stuxnet, l’altro co-
dice maligno per l’attacco ai sistemi di controllo tipo
Scada, cui viene spesso comparato.
Il codice è scritto parzialmente con il linguaggio di script
Lue, che in portoghese significa ‘luna’ e che si basa sul lin-
guaggio ISO C(http://www.lua.org/), e in parte in C++;
dopo l’infezione iniziale può inoltre attivare vari codici ma-
ligni.
I tipici moduli (sono più propriamente famiglie di moduli) che
costituiscono il codice maligno includono:
• boots, per raccogliere informazioni;
• munch, per installarsi e propagarsi;
• snack, per propagarsi localmente, per esempio in una
LAN;
• spotter, per effettuare scanning;
• transport, per replicarsi;
• euphoria, per rubare file;
• moduli per diversi tipi di attacchi, tra i quali flame, flask,
jimmy, headache.
Flame si propaga ad altri sistemi via LAN e via chiavette
USB. Può catturare informazioni multemediali di ogni tipo
dal video (screenshot), dalla tastiera (keylog), dal traffico
di rete e dai file archiviati. È in grado di catturare conver-
sazioni in ambito Skype e di utilizzare le interfacce Blue-
tooth dei sistemi infettati per scoprire informazioni nei di-
spositivi dotati di Bluetooth vicini. Questa capacità consente
M.R.A. Bozzetti, OAI founder
88
office automation
luglio-agosto 2012
