Le malware Flame a été découvert au mois de mai dernier. Une détection dans diverses régions du monde, mais plus particulièrement au Proche-Orient et en Iran. Ce cyberespion a agi dans l'ombre pendant des années. Depuis sa découverte, de forts soupçons pèsent à son encontre quant à une conception par les États-Unis et Israël afin d'espionner le programme nucléaire en Iran.
Flame continue de livrer quelques-uns de ses secrets. D'après un rapport de Kaspersky Lab, Symantec, le CERT-Bund/BSI et l'Union internationale des télécommunications, l'analyse des serveurs de commande et de contrôle utilisés par les créateurs de Flame montre que cette plateforme date de décembre 2006.
C'est à cette période que Flame a été conçu par un groupe constitué d'au moins quatre développeurs. Au cours des six dernières années, ce groupe a eu recours à des serveurs pour communiquer avec Flame sur des ordinateurs Windows compromis afin de lancer diverses attaques.
Pour éviter la détection, plusieurs méthodes de cryptage ont été utilisées, tandis que des données liées à Flame ont été supprimées de manière régulière sur les machines infectées.
Selon l'enquête d'investigation, les serveurs de commande et de contrôle fonctionnaient avec une version 64 bits de la distribution Debian virtualisée dans des conteneurs OpenVZ. Le code des serveurs a été écrit en PHP et plusieurs artifices ont donné aux serveurs l'apparence d'un simple système de gestion de contenu ( CMS ). De quoi éviter d'attirer l'attention de l'hébergeur.
Les serveurs étaient capables de recevoir les données des machines infectées via quatre protocoles différents. Seulement un était en réalité utilisé pour Flame, ce qui sous-entend l'existence d'au moins trois autres malwares liés à Flame.
Au nom de code SPE et à la fonctionnalité mystérieuse, un de ces malwares est actuellement en circulation selon Kasperky Lab qui ajoute : " des signes indiquent que la plateforme de commande et de contrôle est toujours en cours de développement ". La société de sécurité fait référence à un dispositif de communication Red Protocol qui n'a pas encore été mis en œuvre.
" Il s'agit sans aucun doute d'un exemple de cyberespionnage mené à une échelle massive ", commente Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab.