De malware kwam aan het licht in het Midden-Oosten. Iran gaat nu exemplaren van het virus delen met Westerse antivirusbedrijven ook al mogen veel (Amerikaanse) antivirusbedrijven geen handel drijven met Iran. De Windows-trojan, die gewoon op een volledig gepatchte Windows 7 machine kan draaien, onderschept data van Bluetooth-telefoons en verspreidt zich via usb-drives, maakt screenshots, bekijkt netwerkactiviteit, onderschept toetsaanslagen en neemt ook conversaties op via de pc-microfoon.

Midden-Oosten grootste slachtoffer

Doordat Iran, Syrië en een handvol andere landen uit het Midden-Oosten aangevallen worden door de Flame-malware, denken analisten dat de malware voor cyberoorlogdoeleinden is geschreven. De code voor de complexe malware is waarschijnlijk ook door eengrote groep ontwikkelaars geschreven, zo concludeert antivirusbedrijf Symantec. Beveiligingsbedrijf Kaspersky vermoedt dat er één of meerdere landen achter de Flame-malware zit. Het Russische beveiligingsbedrijf denkt dat het nog tien jaar zal duren voordat de werkelijke aangerichte schade van de Flame-trojan in kaart gebracht kan worden. De 7 landen die het meest getroffen zijn door Flame zijn in onderstaande kaart te zien.

‘Meest geavanceerde cyberwapen ooit’

Kaspersky stelt dat de Flame-malware misschien wel het meest geavanceerde cyberwapen ooit is. De trojan is een grote verzameling van verschillende modules en is bijna 20 MB groot maar er bestaan verschillende versies in verschillende groottes. De meeste malware is juist heel compact geschreven (Stuxnet was slechts 1 MB groot) en de Flame-malware is door de grootte veel lastiger uit te pluizen voor antivirusbedrijven. Het is ook in de programmataal Lua geschreven dat ook uniek is voor malware. De 3000 regels code zijn ondergesneeuwd in allemaal meegeleverde libraries. Het lijkt erop dat Flame gelijktijdig met Stuxnet is ontwikkeld en als een soort plan B dienst doet voor het geval Stuxnet ontdekt zou worden.

[Via: Securelist]