Kaspersky Lab phát hiện ra mã độc miniFlame mới

Thứ tư, 17/10/2012 08:18

(ictworld.vn) - Các nhà nghiên cứu bảo mật tại Kaspersky Lab đã phát hiện ra một loại virus mới có nhiều điểm tương đồng với Flame và Gauss nên được đặt tên là miniFlame.

Trên blog của mình, Kaspersky cho biết: "MiniFlame trong thực tế là một nền tảng Flame nhưng được thực hiện như là một module độc lập. Nó có thể hoạt động độc lập mà không cần module chính của Flame trong hệ thống hoặc một thành phần điều khiển bởi Flame".

MiniFlame được phát hiện vào tháng 7-2012, nhưng đã được phát triển trong nhiều năm. Kaspersky tin rằng có hàng chục thay đổi khác nhau trong miniFlame, vào thời điểm này công ty đã xác định ra 6 mã.

Trong khi Flame và Gauss hướng đến một số lượng lớn các mục tiêu thì miniFlame được tập trung vào một vài hệ thống ở Tây Á. Kaspersky cho biết thêm: "Điều này cho thấy rằng miniFlame là một công cụ được sử dụng cho các cuộc tấn công nhắm mục tiêu cao, và nó cũng có thể chỉ được sử dụng chống lại các mục tiêu rất cụ thể có ý nghĩa lớn nhất và được quan tâm bởi những kẻ tấn công".

MiniFlame không xuất hiện để nhắm mục tiêu một khu vực cụ thể. Trước đó, Flame đã được tập trung chủ yếu ở Iran và Sudan, trong khi Gauss đã có một sự hiện diện lớn ở Lebanon. MiniFlame bao gồm nhiều biến thể khác nhau, tuy nhiên được hướng đến các khu vực như Lebanon, Palestine cũng như Iran, Kuwait và Qatar.

"Nếu Flame và Gauss hoạt động như là một công cụ gián điệp lớn, lây nhiễm hàng ngàn người sử dụng máy tính thì miniFlame/SPE có mục tiêu tấn công cao hơn”.

Phân tích Flame, Kaspersky đã xác định được bốn phần mềm độc hại trên các tập tin, bao gồm: SP, SPE, FL và IP. Trong đó, FL là Flame và Kaspersky cho biết rằng SPE chính là miniFlame.

Tuy nhiên, MiniFlame có thể được sử dụng để kết hợp với các đối tác lớn hơn của nó như Gauss. Và Kaspersky cũng nhắc lại với người dùng rằng Flame và Gauss là 2 dự án song song mà không có bất kỳ một module hoặc máy chủ C&C chung. Việc phát hiện ra miniFlame, mã độc này được cho là có thể làm việc với cả 2 dự án hoạt động gián điệp, chứng minh rằng mọi người đã đúng khi cho rằng chúng được xuất hiện từ một nhà sản xuất vũ khí ảo.

Được biết, Kaspersky phát hiện Flame vào cuối tháng 5 vừa qua. Thời điểm đó, nó được xem là vũ khí không gian mạng tinh vi nhất chưa được xuất hiện. Flame có thể ghi lại lưu lượng mạng, chụp ảnh màn hình, ghi âm cuộc hội thoại, đánh chặn một bàn phím và nhiều hơn nữa. Tất cả các dữ liệu này sau đó có sẵn thông qua máy chủ lệnh và kiểm soát Flame.

Trong khi đó, Gauss được phát hiện vào tháng 8 và được xem là mối đe dọa trong không gian mạng, nhắm mục tiêu là người dùng ở Trung Đông nhằm ăn cắp thông tin cá nhân hay thông tin ngân hàng. Gauss bao gồm một module - được biết đến với tên gọi Gödel được mã hóa và theo Kaspersky là rất khó để bẻ khóa.

thanh