Được cho là có liên quan tới “siêu sâu” Stuxnet cách đây 1 năm, sâu máy tính “Flame” rõ ràng được thiết kế cho những mục đích cụ thể, phần lớn nghiêng về đánh cắp thông tin kiểu gián điệp, nhắm vào tập đoàn công nghiệp lớn tập trung tại khu vực Trung Đông.
Tuy nhiên, không giống Stuxnet được thiết kế cho mục đích phá hủy các hệ thống công nghiệp, sâu “Flame” chỉ đơn thuần là thu thập thông tin, điều khiển từ xa, chụp ảnh màn hình, và ghi lại các đoạn trao đổi trên máy tính. Cũng giống Stuxnet, Flame được đồn đoán là công cụ gián điệp do Mỹ và Israel tạo ra để do thám chương trình hạt nhân của Iran. Lời đồn đoán này không phải là không có cơ sở khi hiện tại Flame mới chỉ phát hiện lây lan tại Iran, khu Bờ Tây, Li Băng và Các Tiểu Vương quốc Ả Rập Thống nhất (UEA)
Flame được phát hiện lần đầu bởi Kaspersky Labs, một công ty bảo mật của Nga. Điều lạ kỳ ở chỗ dung lượng mã nguồn của sâu này lên tới 20 megabyte, nặng gấp 100 lần các loại phần mềm độc hại thông dụng khác. Các nhà phân tích bảo mật đã thử giải mã sâu W32.Flamer nhưng không phát hiện được nguồn gốc đích xác của nó. Tuy nhiên, các chuyên gia cho rằng để tạo ra sâu W32.Flamer cần ít nhất một nhóm chuyên gia cao cấp cùng tham gia phát triển trong vài tháng trời.
Theo phân tích của Kaspersky Labs, Flame là một trong những mẫu phần mềm độc hại phức tạp nhất và lớn nhất mà họ thấy từ trước tới nay. Ngoài dung lượng mã nguồn lớn một cách kỳ lạ, Flame còn là loại mã độc đầu tiên trên HĐH Windows sử dụng kết nối Bluetooth để thực hiện các cuộc tấn công. Hiện vẫn còn chưa rõ tại sao những kẻ tấn công lại tích hợp chức năng này cho “siêu mã độc” Flame? Tuy nhiên, theo nhận định của hãng bảo mật Symantec, có 3 giả định cho việc làm này.
Thứ nhất, tính năng Bluetooth của Flame được dùng để xác định vùng mạng lưới xã hội và mạng nghề nghiệp của những người dùng bị lây nhiễm bằng cách phân loại những thiết bị có chức năng kết nối Bluetooth. Thứ hai, tính năng này có thể giúp xác định khu vực địa lý mà người dùng bị lây nhiễm đang ở, để từ đó nhắm tới những đối tượng mục tiêu tấn công có mức ưu tiên cao ở xung quanh. Và cuối cùng, khả năng độc đáo của việc tích hợp khả năng Bluetooth là để nhắm tới những thiết bị có kết nối Bluetooth khác trong phạm vi và ăn cắp thông tin từ các thiết bị đó. Các thiết bị này sẽ được sử dụng để nghe lén hoặc lợi dụng kết nối từ những thiết bị này để lấy đi những dữ liệu đã bị đánh cắp.
Theo Symantec, Flame sử dụng ngôn ngữ lập trình Lua (một ngôn ngữ viết mã gọn nhẹ) giúp cho những kẻ tấn công dễ dàng viết tính năng mới cho phần mềm độc hại này.
Với những khả năng trên, Flame được xem là công cụ gián điệp tinh vi nhất từng được biết đến. Giả thuyết đây là công cụ của một tổ chức chính phủ cũng được khẳng định qua báo cáo phân tích của nhóm phân tích bảo mật thuộc Phòng thí nghiệm Mã hóa và Bảo mật Hệ thống (CrySys Lab), Hungary. Theo phân loại của CrySys Lab, sâu Flame được gọi là SkyWIper, sử dụng tới 5 phương pháp mã hóa, 3 kỹ thuật nén và ít nhất là 5 định dạng tệp tin khác nhau.
Cũng theo CrySys Lab, SkyWIper có thể sử dụng được tất cả chức năng của máy tính như bàn phím, màn hình, microphone, thiết bị lưu trữ, mạng Internet, kết nối Wifi, Bluetooth, USD và các tiến trình của hệ thống, nhằm phục vụ cho việc gián điệp. Chính vì sự phức tạp và tinh vi quá mức đến như vậy mà CrySys Lab cho rằng sKyWIper là sản phẩm của một tổ chức chính phủ với khoản ngân sách phát triển tương đối lớn, và có thể liên quan tới các hoạt động chiến tranh mạng.
Theo VnMedia