Giống như những sâu khét tiếng Stuxnet và Duqu, trojan Flame là một dạng phần mềm gián điệp, nhiều khả năng do các đơn vị thuộc chính phủ nước nào đó tạo ra. Nó có cấu trúc khác thường theo dạng mô-đun và rất khó phân tích.
Theo thông báo của Kaspersky Lab ngày 28/5/2012, Flame - "vi rút phức tạp nhất" - cấu tạo từ một gói các mô-đun mà khi được triển khai đầy đủ sẽ chiếm dung lượng khoảng 20 MB. Do đó, nó trở nên khó phân tích với các phần mềm diệt virus. Kích thước lớn mang lại cho vi rút này hàng loạt thư viện, ví dụ, ZLib, libbz2, PPMD để nén các tập tin và sqlite3 để làm việc với các cơ sở dữ liệu. Đó là các công cụ để tổ chức tấn công hiệu quả.
Tính năng của Flame có thể được mở rộng nhờ tải thêm các mô-đun bổ sung. Số lượng mô-đun bổ sung lên tới 20. Theo thông báo của các chuyên gia Kaspersky Lab, hiện Flame đã lây nhiễm tới hơn 600 mục tiêu. Không rõ đây chỉ là 600 máy tính hay 600 tổ chức.
Theo Kaspersky Lab, Flame được dùng cho các cuộc tấn công có mục tiêu, tuy nhiên nguồn lây lan của nó chưa được xác định. Xét mọi khía cạnh, Flame này có nhiệm vụ làm gián điệp. Sau khi thâm nhập vào hệ thống, Flame có thể tiến hành một loạt hoạt động, ví dụ, chiếm lưu lượng mạng, chụp ảnh màn hình, ghi âm các cuộc nói chuyện, theo dõi thao tác bàn phím v.v... Tất cả các dữ liệu bị đánh cắp được gửi đến cho kẻ khai thác thông qua hàng loạt máy chủ.
Do sự phức tạp của trojan này, Kaspersky Lab cho rằng việc phát triển nó có thể có sự hậu thuẫn của các tổ chức thuộc chính phủ của một quốc gia nào đó. Tuy nhiên, vị trí cụ thể xuất phát trojan này không được Kaspersky Lab thông báo. Thú vị là khu vực phát tán Flame bao gồm các nước thân Iran như Ai-Cập, Li Băng, Palestine, Syria, Sudan cũng như các nước thân Mỹ như Israel và Ả-rập Xê-út...
Đọc thêm »
