Eén of meerdere westerse inlichtingendiensten zitten waarschijnlijk achter de ontwikkeling van het Flame-virus. Dat stelt beveiligingsbedrijf Websense. De malware die in het Midden-Oosten opdook en voornamelijk ontwikkeld is om informatie te stelen, blijft de gemoederen bezighouden. "Gebaseerd op historische APT-patronen, de aangevallen regio en complexiteit en kwaliteit van de code, vermoeden wij dat Flame door één of meer westerse inlichtingendiensten is gemaakt. Ik denk niet dat we veel copycats van Flame zullen zien, maar wel meer gerichte aanvallen tegen landen", merkt Patrik Runald op.

Flame is volgens de analist interessant omdat het meerdere technieken in elkaar weeft en die dynamisch toepast, gebaseerd op de mogelijkheden van het geïnfecteerde systeem. Tevens is Flame opmerkelijk omdat het ondanks z'n grootte toch minimaal twee jaar onopgemerkt bleef.

Bangmakerij
Marc Maiffret van beveiligingsbedrijf eEye Digital Security hekelt het optreden van de anti-virusbedrijven, die in een soort spel zijn verwikkeld waarbij ze steeds nieuwe interessante feiten proberen te ontdekken voordat de concurrent dit doet. "De rest die in de echte IT-wereld werkt vraagt zich af wanneer ze door dit soort malware worden aangevallen en waarom de continue cyclus van reactieve ontdekkingen geen eind kent."

Voor zover bekend verspreidt Flame zich via twee Windows-lekken die in augustus en september 2010 door Microsoft werden gepatcht (MS10-046 en MS10-061). Bedrijven die hun patchmanagement op orde hebben zouden dan ook niet meer kwetsbaar zijn. Verder blijkt dat Flame Windows Domain Administrator inloggegevens gebruikt om zich verder te verspreiden. Daarbij is het volgens Maiffret verstandig om ervoor te zorgen dat accounts met verminderde rechten draaien, om malware het niet al te gemakkelijk te maken.

Eindgebruikers
Voor eindgebruikers heeft Flame geen gevolgen, stelt Lysa Myers van anti-virusbedrijf Intego. Dreigingen als Zeus en Flashback hebben meer systemen besmet en vormen voor eindgebruikers een groter risico. "De les die we hieruit moeten trekken is dat er nog steeds veel onbeschermde gebruikers zijn, wat de dreiging voor iedereen vergroot. Een gebruikersgroep is als een ecosysteem. Als de malwaremakers een zelfvoldane gebruikersgroep zien, is het een eenvoudig doelwit."

Back Orifice
Chris Wysopal, CTO van Veracode, merkt op dat een aantal van de dingen die Flame doet al in 1998 door de Back Orifice spyware werden gedaan, zoals screenshots maken en toetsaanslagen opslaan. "Dat is standaard spyware van 12 jaar geleden."

Toch is de malware professioneel gemaakt, zegt Roel Schouwenberg van Kaspersky Lab. "De manier waarop de malware gestructureerd is, toont een hoog niveau van professionaliteit. Ze hebben hun eigen libraries om SSL en SSH te doen en er zit veel data in SQL databases."

Daarnaast is de malware erg 'conservatief' in de manier waarop het zich verspreidt. "Het verspreidt zich alleen via USB of netwerk nadat de aanvaller de opdracht heeft gegeven dit te doen. De meeste infecties zijn ook het beoogde doelwit. Dit is geen Stuxnet waar we tienduizenden infecties zagen, waarbij er alleen een aantal toededen", laat de Nederlander weten.