Flame es nombrado: Criptográfico de maravilla, PCs infectados se suicidan

Uber-malware de Flame es la herramienta más compleja para el ciber-espionaje descubierto en la naturaleza hasta la fecha, los criptógrafos expertos han dicho, el primer ejemplo de un ataque de colisión MD5 se utilizan en serio. «Flame utiliza un todavía desconocido MD5 elegido-prefijo de ataque de colisión» expertos de renombre Marc Stevens y BMM de Weger anunció en un grupo de discusión de seguridad esta semana, después de haber sido obligado a crear una herramienta personalizada específicamente en la esperanza de excavar a través de los secretos del malware. Mientras tanto, Symantec descubrió lo que parecía ser una instrucción de un suicidio desesperado envía a un número de computadoras comprometidas.

Ese comando suicidio es una de las características más singulares de Flame en el mundo del malware. Según los primeros informes sobre la herramienta, los de control remoto de la misma han sido la limpieza de los sistemas previamente infectados a medida que avanzan, poner en orden su rastro y lo que es más difícil para los expertos. De esta manera, el número de ordenadores comprometidos se mantiene razonablemente estable.

De acuerdo con Symantec, los operadores de Flame usarón un comando y control (C & C) sistemas en los que aún tenía acceso a la distribución de un nuevo archivo llamado «browse32.ocx», que, cuando se activa, causados todos los archivos infectados y carpetas que se borran y se sobrescriben. El propio programa de desinstalación se elimina, sin dejar rastros de la llama en el PC.

«El diseño de la llama se basa en parte en el criptoanálisis de clase mundial», dijo Stevens y Weger en un comunicado de esta semana. «La investigación adicional se llevará a cabo la reconstrucción de toda la elegida-prefix ataque de colisión diseñado para Flame.»

Ese ataque involucrados imitando la certificación de Microsoft para firmar digitalmente los módulos de Flame, en efecto, engañando a las máquinas Windows en la creencia de que sean de código legítimo de la empresa. De ese modo, los operadores remotos podría añadir a la funcionalidad de núcleo de flame con diversos paquetes adicionales, dependiendo de la naturaleza de la máquina infectada.

La complejidad del malware ha llevado a los supuestos de que la llama no fue creado por un grupo único de los hackers, pero con el respaldo de un Estado-nación, cuenta con un equipo de ingenieros de software, pero no sólo de especialistas en criptografía de alto nivel.