Het zeer geavanceerde spionagevirus Flame werd door mensen ontwikkeld, maar een supercomputer analyseerde en selecteerde de slachtoffers die vervolgens met MiniFlame besmet werden. Dat vertelt Costin Raiu, hoofdonderzoek van het Russische anti-virusbedrijf Kaspersky Lab tegenover Security.nl. Gisteren verscheen het eerste deel van het interview met Raiu, vandaag het tweede en laatste deel, waar hij ook in gaat op de toekomst van 'supermalware'.

Flame werd begin dit jaar ontdekt. Het spionagevirus was ontwikkeld om onzichtbaar te bleven en allerlei informatie van besmette systemen te stelen. Naast Flame behoren ook Stuxnet, Duqu, Gauss en MiniFlame tot de familie van supermalware waar anti-virusbedrijven langzaam steeds meer over te weten komen.

Supercomputer
Na bestudering van Flame, Gauss en MiniFlame, de laatste in de serie van geavanceerde malware die werd ontdekt, concluderen de onderzoekers dat de aanvallen in golven plaatsvonden. Golven waarbij grote hoeveelheden data werden gestolen. "In eerste instantie dachten we dat honderden mensen de door Flame gestolen gegevens verwerkten, maar nu begrijpen we dat dit automatisch door supercomputers gebeurde", aldus Raiu

Sommige campagnes duurden verschillende weken, waarbij duizenden slachtoffers op een nog onbekende manier besmet werden. Vervolgens werd er zoveel informatie als mogelijk van de computers gestolen, waarna de malware zichzelf weer verwijderde.

Al die gestolen data werd verwerkt door een supercomputer, om vervolgens interessante slachtoffers te selecteren. Voor deze interessante doelwitten werd de MiniFlame-malware ingezet. Deze malware werd onlangs door Kaspersky onthuld.

"Deze aanvallen vonden in golven plaats en we hebben alleen een kans gekregen om tussen de golven mee te kijken. Een volle aanvalsgolf hebben we niet gezien. We kunnen aannemen dat dit soort aanvalsgolven wel hebben plaatsgevonden, gezien de data van de Command & Control-server die we konden bekijken. Toen werden duizenden systemen aangevallen, waarna de schoonmaak plug-in verscheen", laat Raiu weten.

Datadiefstal
Eerder werd duidelijk dat het de aanvallers om bepaalde bestandstypen te doen was, zoals Microsoft Office, PDF, Autocad en anderen. In totaal werd er naar 40 bestandsextensies gezocht, elk met een eigen prioriteit. Bij elke 'run' maakte de malware maximaal 16MB aan bestanden buit. Een vast geprogrammeerde waarde.

Op de C&C-server zag Kaspersky 5 gigabyte aan gecomprimeerde en versleutelde data. De server versleutelde de bestanden met private key encryptie, zodat die alleen toegankelijk voor de aanvallers was. In totaal zijn er waarschijnlijk tientallen gigabytes aan informatie gestolen. "Dit werd zeker niet door een mens, laat staan honderd mensen handmatig geanalyseerd. Alles werd automatisch aan de severkant gedaan." Flame kon tekst uit Word-documenten halen, zodat het de gegevens sneller kon versturen en analyseren op sleutelwoorden,.

De vraag blijft waarom de makers van Flame de interessante slachtoffers opnieuw met malware infecteerden in de vorm van MiniFlame. Ze hadden namelijk al toegang tot het systeem. Raiu merkt op dat Flame met zijn 20MB in omvang een gigantisch programma is. "Ik denk om de kans op detectie te verkleinen, ze voor de interessante slachtoffers een kleine module gebruikten, genaamd MiniFlame."

Deze malware is 100KB in omvang. Het grootste verschil tussen de beide supermalware is dat Flame volledig automatisch is. MiniFlame wordt altijd vanaf de server aangestuurd. "MiniFlame laat de aanvallers direct met de computer van de slachtoffers meekijken om te zien waar ze aan werken, om screenshots te maken en bestanden te downloaden.

"Flame is een ongeleid projectiel dat je afvuurt in de hoop zoveel doelen als mogelijk te raken. Aan de hand van teruggestuurde data zoek je de interessante doelen voor de volgende campagne."

Toekomst
Flame is nu een afgesloten hoofdstuk en wordt niet meer actief onderzocht, hoewel dat niet het einde van de supermalware betekent. Raiu merkt op dat er tenminste één ander project van de Flame-makers actief is. Op de C&C-server werden vier verschillende client-types gezien. De makers noemden hun malware clients. Eén heette FL, wat staat voor Flame. De ander heet SPE, wat de aanduiding voor MiniFlame is. De andere twee gaan als SP en IP door het leven.

"We weten dat de MiniFlame intern als SPE versie 4 en 5 werd aangegeven. SP is waarschijnlijk een oude versie van MiniFlame die niet meer bestaat. De meest geavanceerde versie in het overzicht heeft indexnummer 6. Flame heeft nummer 3, MiniFlame heeft indexnummer 2. Projectnummer 6 is waarschijnlijk de meest geavanceerde van al deze projecten, maar we weten ook niets over nummer 4 en nummer 5.

De malware met de codenaam 'IP' is een nummer '6' project, maar ook hier is geen informatie over beschikbaar. "Op het moment is het boek gesloten, maar als er informatie verschijnt duiken we er weer in."

Cyberoorlog
Raiu ziet in Flame het bewijs van een opkomende cyberoorlog tussen landen. Een cyberoorlog waarbij beveiligingsbedrijven vooral de wapens uit het verleden ontdekken en bestrijden, aangezien Flame, maar ook Stuxnet, jaren geleden zijn ontwikkeld. Dat geeft alleen maar te denken waar de ontwikkelaars nu mee bezig zijn.

"We kunnen alleen maar aannemen dat de nu ontdekte operaties zoals Flame en Gauss worden vervangen door nieuwe geavanceerde malware." Op de vraag of we deze nieuwe malware pas over een paar jaar zullen ontdekken is Raiu voorzichtig. "Misschien ontdekken we het over een paar jaar, misschien ook nooit."