“Mini Flame”, el hermano pequeño pero peligroso del virus Flame

Los investigadores de Kaspersky llevan bastante tiempo haciendo excavaciones en torno a Flame, un sorprendente virus desarrollado para el ciberespionaje, aparentemente creado por Estados Unidos e Israel. Junto con Flame, los investigadores detectaron a Gauss, que permitía vigilar cuentas bancarias de personas espiadas, y “miniFlame”, descubierto hace pocos días.

“MiniFlame es una herramienta de ataque de gran precisión. Lo más probable es que sea una ciberarma dirigida a lo que podría llamarse una ola secundaria de ciberataque. Se instala para una investigación y ciberespionaje en profundidad”, dijo el experto de Kaspersky, Alexander Gostev.

Tal parece que es utilizado para obtener control y acceso para espiar a determinados computadores ya infectados con Flame o Gauss. De la misma forma como ocurrió con Flame y Gauss, miniFlame parece haber sido creado por los mismos autores de Stuxnet, la primera “arma de ciberguerra”, diseñada para sabotear el programa nuclear iraní. Y esto podría ser sólo una pequeña parte del arsenal de ciberarmas, que todavía no conocemos.

MiniFlame sería un módulo que puede operar de forma independiente, o puede ser parte de otras herramientas de espionaje más grandes, como Flame o Gauss. El módulo está diseñado para robar datos y abrir una puerta trasera en las máquinas infectadas, entregando a los atacantes control sobre las máquinas. Una vez establecida esta puerta trasera, los atacantes pueden enviar comandos para realizar diferentes tareas (como tomar pantallazos, robar datos o descargar archivos, por ejemplo) en la máquina.

Flame y Gauss no permiten este control directo de los dispositivos infectados, como sí lo hace miniFlame. Los investigadores creen que se diseñó para víctimas muy específicas – apenas habría unos 50 casos infectados -, y que se usó en conjunto con los virus antes mencionados.

“En principio, Flame o Gauss se utilizan para infectar al mayor número posible de equipos y recoger la mayor cantidad de información. Después de que los datos son recogidos y revisados, se define e identifica un objetivo potencial de víctimas de interés, y miniFlame se instala para una investigación y ciberespionaje en profundidad”, indicó Gostev.

Se piensa que un tiempo después de instalar miniFlame, los atacantes borraban al malware mayor, Flame. Hace un tiempo se descubrió un módulo llamado “browse32″ presente en Flame que auto-destruye al virus, módulo que no afecta a miniFlame. Este último además “vacuna” al registro del equipo infectado y evita que, si vuelve a entrar en contacto con Flame, se contagie del virus.

Los investigadores de Kaspersky identificaron seis variantes de miniFlame, y creen que las variaciones pueden alcanzar algunas cuantas decenas. Cada una de las versiones parece estar enfocada a diferentes territorios, de modo que encontraron un tipo concentrado en el Líbano y territorios palestinos, mientras que otras variantes se encontraban en Irán, Qatar y Kuwait.

Kaspersky indica que la primera versión de miniFlame dataría de 2007.

Los investigadores descubrieron a este malware al obtener acceso a dos servidores de comando y control que los atacantes usaban para comunicarse con Flame. Luego de interceptar datos que iban desde máquinas infectadas con Flame hacia el servidor, los investigadores se sorprendieron al descubrir que había un segundo malware presente.

Se cree que se utilizan servidores especiales diferentes a los de Flame para enviar comandos hacia miniFlame, ya que el sistema interceptado por Kaspersky no tenía posibilidad de enviar este tipo de comandos. Entre el 28 de mayo y el 30 de septiembre, las máquinas infectadas con miniFlame contactaron al espía de Kaspersky unas 14.000 veces desde unas 90 IPs diferentes. La mayoría estaba basada en el Líbano (45 infecciones), seguido por Francia (24 infecciones).

Los investigadores han descubierto equipos infectados sólo con Flame, sólo con Gauss, algunas con Flame y miniFlame, y otras con Gauss y miniFlame. Un equipo del Líbano, sin embargo, tiene los tres – aparentemente alguien lo suficientemente importante para ser espiado por todo el malware. La IP de este equipo lleva a un ISP, de modo que no es fácil saber de quién es el dispositivo.

Ubuntu 12.10 Quantal Quetzal

Ubuntu 12.10, conocido también como “Quantal Quetzal” verá la luz mañana, 18 de octubre, y ya está rodeado de dudas y conflictos sobre su diseño, implementaciones y las opciones para ganar dinero que lanzará Canonical junto con el sistema operativo.

Ubuntu se ha convertido en una de las distribuciones de Linux más populares, y regularmente recibe críticas de sus seguidores y detractores cada vez que aparece una versión nueva. Veamos las dudas que rodean a este nuevo lanzamiento:

•  Se agregó una página de donaciones antes de la descarga del sistema operativo. Esto no es tan inusual entre los proyectos open source, sin embargo, la manera en que está desplegada parece intentar forzar al usuario a entregar dinero, escondiendo al final del scroll el clic para seguir con la descarga. 
• Resultados de Amazon: A partir de la versión 12.10, las búsquedas que se hagan en el menú (dash) desplegarán resultados y sugerencias de Amazon, además de los resultados locales del sistema. Esto es parte de un acuerdo entre Canonical y Amazon, en un intento de generar ganancias a partir del sistema operativo. Es posible que el de Amazon sólo sea el primero de varios acuerdos más. El asunto es polémico por varias razones, partiendo por que los resultados de Amazon no tienen ninguna relevancia cuando haces una búsqueda dentro del sistema, por una aplicación, por ejemplo. Por otro lado, se lanzaron críticas respecto a la privacidad de los usuarios, si Amazon estaría recibiendo información sobre las búsquedas que realizan. Ubuntu enviará la información encriptada, pero de todos modos se recolectarán los datos. Para alivio de algunos, es posible desactivar esta “colaboración” con Amazon en la configuración del sistema. 
• Velocidad: En lugar de entregar una versión antigua de GNOME o una versión 2D de Unity para equipos más antiguos que no cuentan con aceleración por hardware, Ubuntu 12.10 integró un emulador de aceleración por hardware. Este sistema (LLVMpipe pipe driver for Gallium 3) provoca que en algunas máquinas antiguas el sistema operativo es casi inutilizable, porque corre demasiado lento. Así que si estabas usando Ubuntu para reutilizar hardware viejo, es mejor optar por otra distro.

Más allá de estos problemas, Ubuntu 12.10 trae mejoras, como la actualización al kernel 3.5.4 y de otras aplicaciones, incluyendo también Firefox 16.1, LibreOffice 3.6.2, y Thunderbird 16.01; Totem para películas, Shotwell para fotografías, y Rhythmbox para música.

Links.

- Ubuntu Linux 12.10 review (ZDNet)
- Ubuntu 12.10: The Controversies Continue (Datamation)