Flame si suicida, per far perdere le tracce dei suoi autori

Flame il “supervirus” che sembra abbia avuto gioco facile, addirittura per anni, sui sistemi di agenzie governative ed organizzazioni del medio oriente, si sta suicidando. La conferma arriva dagli esperti di Symantec che segnalano come gli autori del malware stiano trasmettendo del codice capce di “autoneutralizzare” il virus. L’ordine di rimozione di Flame viene inviato verso i sistemi infetti dai server “command-and-control” (C&C) ossia le macchine utilizzate dagli autori del malware per trasmettere indicazioni sulle operazioni da effettuare (compresa la sottrazione di informazioni personali o dati sensibili).

Symantec descrive il file browse32.ocx come il modulo che gli sviluppatori di Flame hanno iniziato ad inviare alle macchine già infette per richiedere l’immediata rimozione del malware. L’intento dei criminali informatici che hanno ideato Flame è quello di nascondere rapidamente le proprie tracce evitando che, evidentemente, le investigazioni possano consentire di risalire agli autori dell’aggressione. “Sanno che adesso sono sotto osservazione“, ha dichiarato Victor Thakur, uno degli esperti di Symantec, riferendosi agli sviluppatori di Flame.

Gerardo Di Giacomo, Security Program Manager del Microsoft Security Response Center, ha evidenziato come alcuni componenti di Flame siano stati firmati digitalmente facendo in modo che il malware venisse essere identificato come un software Microsoft. La società di Redmond ha immediatamente dichiarato come fraudolenti i certificati usati dagli autori di Flame ed ha rilasciato degli aggiornamenti in modo tale da evitare problemi in futuro (vi suggeriamo di consultare l’articolo “Da Microsoft un aggiornamento per “stanare” Flame“).

Di Giacomo ha aggiunto che “chi ha creato Flame, ha utilizzato un collision attack, in combinazione con i certificati del Terminal Server Licensing Service, per firmare codice (malevolo, n.d.r.) (…) Questi certificati danno la possibilità di firmare codice senza effettuare nessun attacco crittografico, e questa è una possibilità che può suscitare interesse per eventuali ulteriori aggressori“. Ecco perché Microsoft ha ritenuto, con l’aggiornamento presentato in questa pagina di invalidare l’intera gerarchia di certificati digitali appartenente al sistema di licenze di Terminal Server. “Non ci siamo limitati a bloccare i certificati non autorizzati utilizzati da Flame, ma tutti quelli appartenenti a questa gerarchia“, ha precisato Di Giacomo. Contemporaneamente, la società di Redmond sta provvedendo ad aggiornare sia Windows Update che Windows Server Update Services (WSUS).