Flamer : le maliciel le plus complexe depuis Stuxnet et Duqu

Flamer

L’équipe de chercheurs du Security Response de Symantec procède à l’analyse d’une menace aussi sophistiquée et discrète que l’étaient Stuxnet et Duqu : W32.Flamer.

Cette analyse a jusqu’à présent révélé que le maliciel a été conçu dans le but d’obtenir des informations de la part des systèmes infectés, qui se trouvent principalement au Moyen-Orient. Comme pour Stuxnet et Duqu, le code de cette nouvelle menace n’a pas été écrit par un individu isolé mais par un groupe de spécialistes organisé, financé et dirigé. Le code comporte de multiples références à la chaîne de caractères « FLAME »ce qui peut donner une indication soit sur les instances d’attaque via différentes parties du code, soit sur le nom du projet  de développement du maliciel.

Ce maliciel, particulièrement discret, est en activité depuis au moins 2 ans et a la capacité de voler des documents, faire des copies-écran des utilisateurs de la machine infectée, de se propager via les disques connectés en USB, de désactiver les solutions des éditeurs de sécurité et, sous certaines conditions, se développer sur d’autres systèmes. Cette menace a également la capacité d’utiliser plusieurs vulnérabilités connues et corrigées de Microsoft Windows pour se propager sur un réseau.

Les premières analyses de localisation montrent que Flamer se trouvent principalement en Cisjordanie, en Hongrie, en Iran et au Liban. D’autres cibles se  trouvent en Russie, en Autriche, à Hong Kong et aux Emirats Arabes Unis. Les secteurs d’activité des individus ciblés sont pour le moment indéterminés. Cependant, les premières analyses du maliciel montrent que les victimes n’ont pas toutes été ciblées pour la même raison. Nombre d’entre elles semblent être ciblées pour leurs activités personnelles plutôt que pour celles de la société qui les emploie. Il également intéressant de noter que, au-delà de sociétés spécifiques ciblées, de nombreux systèmes attaqués sont des ordinateurs utilisés à domicile et connectés à Internet.

Le récent rapport de Symantec sur les menaces de sécurité sur Internet (ISTR 17) publié début mai montrait que le nombre d’attaques ciblées était passé de 77 à 82 attaques par jour en 2011, et indiquait que ces attaques ciblées continueraient d’être une réelle menace de par leur fréquence et leur sophistication croissantes.

Les recherches et l’analyse de Flamer sont en cours et de nouveaux détails techniques sur le code ainsi que sur l’attaque même seront publiés prochainement.