Flame, uma nova etapa na guerra cibernética

[O texto abaixo, traduzido do jornal francês Le Figaro, é meramente informativo. Quem estiver interessado em detalhes mais técnicos deve necessariamente recorrer ao artigo da Wired citado no texto.]

Um programa de vírus extremamente complexo, operando escondido há pelo menos dois anos, acaba de ser descoberto. Operado provavelmente por vários países, seu alvo principal é o Irã.

• O que é o Flame, e como foi descoberto?

O vírus Flame foi descoberto há duas semanas  pelas equipes do Kaspersky Lab, uma empresa russa produtora de programas antivírus. Por solicitação da União Internacional das Telecomunicações (instituição ligada à ONU), elas analisavam os computadores pertencentes ao Ministério Iraniano do Petróleo e à Sociedade Nacional de Petróleo dessa república islâmica. As máquinas pareciam de fato terem sido vítimas de um vírus, que roubava e deletava informações importantes.

As equipes do Kaspersky descobriram então um vírus cujas "complexidade  e funcionalidade excediam as de todas as outras ameaças cibernéticas conhecidas até hoje". Seu código é cem vezes mais complexo que o de um vírus clássico e vinte vezes mais complexo que o do vírus Stuxnet. Descoberto em 2010, este último vírus havia sido utilizado para atacar o programa nuclear iraniano. Mas, se o Flame se assemelha ao Stuxnet e ao seu "primo" DuQu, nada até agora confirma que ele tenha sido desenvolvido pela mesma equipe.

• Qual o objetivo do Flame?

Segundo Kaspersky, o Flame é uma "arma cibernética" utilizada para fins de espionagem entre países. Os computadores mais afetados estão localizados no Irã, na Palestina, no Sudão e na Síria. O Líbano, a Arábia Saudita e o Egito são também visados por esse vírus, mas com menor agressividade.

O Flame não parece visar alvos precisos/específicos. Os pesquisadores do Kaspersky consideram que foi concebido para coletar informações diversas em alvos tão diversos como empresas privadas, organismos estatais, escolas ou cidadãos.

Se um computador for contaminado por causa de uma simples porta USB ou de um acesso a uma rede local, o Flame, ao contrário do Stuxnet, não se reproduz automaticamente para infectar um grande número de máquinas. Segundo o site Wired, que publicou um longo artigo sobre esse vírus, quem concebeu o Flame "quis controlar sua propagação e, assim, reduzir o risco de detecção. Essa, certamente, foi sua resposta à propagação ilimitada do Stuxnet, propagação essa que acelerou a descoberta desse vírus".

• O que o Flame faz, exatamente?

De acordo com as primeiras pesquisas, o Flame é essencialmente um vírus espião capaz de se instalar num computador que rode com o Windows. Mesmo uma máquina equipada com o Windows 7 e perfeitamente atualizada pode ser infectada por esse vírus.

O Flame é capaz de ligar o microfone do computador, a fim de gravar conversas sem que ninguém saiba. Se a máquina reconhece o Bluetooth,  o Flame pode então atingir uma zona próxima e fazer uma varredura de todos os aparelhos (especialmente os celulares) para acessar seus arquivos de endereços. O vírus captura igualmente, minuto a minuto, as imagens do monitor. Se o usuário do computador acessar sua caixa de mensagens, ou utilizar um programa de mensagens instantâneas, o vírus acessa os arquivos a cada 15 segundos. E, finalmente, o Flame pode gravar senhas.

Esse vírus gigante, de 20 megabytes quando todos os seus módulos estão instalados, não revelou ainda todos os seus segredos. "Levamos seis meses analisando o Stuxnet. Ora, o Flame é vinte vezes mais complicado. Nos custará bem uns dez anos para entendê-lo completamente", disse à Wired Alexander Gostev, o principal especialista em segurança do Kaspersky Lab.

• Quem está por trás dessa "arma cibernética"?

Kaspersky estima que um ou mais países estão na origem do Flame, sem dizer nomes.  Tendo em vista as semelhanças entre o Flame e o Stuxnet, as atenções já se voltam para os Estados Unidos e Israel, mas sem provas formais. Indagado sobre isso, o ministro do Exterior israelense considerou que o emprego de tais vírus "é justificado, por qualquer um que considere a ameaça iraniana como uma ameaça relevante". "Israel está na vanguarda das tecnologias novas, e estas ferramentas nos oferecem todas as possibilidades possíveis", acrescentou ele, alimentando assim as especulações sobre o papel de Tel Aviv na concepção do Flame.

De acordo com as primeiras análises, o Flame começou a infectar computadores há pelo menos dois anos. Mas, segundo o laboratório de criptografia e de sistemas de segurança húngaro que descobriu o DuQu, o Flame pode estar ativo desde 2007. "Se foram capazes de criar tal coisa há cinco anos, não ouso imaginar o que podem fazer hoje", comensou o responsável por uma empresa britânica de cibersegurança, segundo a agência de notícias Reuters.

Para Eugène Kaspersky, fundador da empresa que tem seu nome, o Flame é uma "nova etapa" na guerra cibernética. "É necessário compreender bem que tais armas podem ser facilmente utilizadas contra não importa qual país. E, contrariamente às guerras convencionais, os países mais desenvolvidos são aí os mais vulneráveis".

Mapa geográfico das regiões infectadas pelo vírus Flame detectadas pelo Kaspersky Lab (clique na imagem para ampliá-la) - (Fonte : Wired/Cortesia Kaspersky Lab).

O nome Flame vem de um dos principais módulos dentro do programa - (Fonte: Wired/Cortesia Kaspersky Lab).

Os pesquisadores não estão seguros sobre como o Flame invade seu alvo inicial, antes de se espalhar por outras máquinas, mas o gráfico acima indica possíveis vetores de infecção - (Fonte: Wired/Cortesia Kastersky Lab).