La funcionalidad Bluetooth de Flame podría ayudar a Spies a extraer datos localmente, dicen los investigadores

La funcionalidad Bluetooth del malware Flame cyberespionage podría usarse para identificar la ubicación física de los dispositivos infectados y permitir que los atacantes locales extraigan datos si se acercan mucho a las víctimas. , según investigadores de seguridad de los proveedores de antivirus Symantec y Kaspersky Lab.

Flame puede aprovechar la capacidad Bluetooth de una computadora infectada para buscar otros dispositivos habilitados con Bluetooth cercanos, como teléfonos móviles, según informaron investigadores de Kaspersky Lab en su informe inicial de Flame publicado el lunes. .

Esta funcionalidad está presente en un módulo de Llama llamado BeetleJuice, investigadores de seguridad fr om Symantec dijo en una publicación de blog el jueves. "Cuando se encuentra un dispositivo, se consulta su estado y se registran los detalles del dispositivo, incluida su identificación, para ser cargado al atacante en algún momento".

[Más información: cómo eliminar el malware de su PC con Windows]

Esta información podría usarse para determinar los círculos sociales y profesionales de las víctimas a lo largo del tiempo al observar qué dispositivos Bluetooth detectan sus computadoras de manera regular, dijeron los investigadores de Symantec.

Las computadoras infectadas con llamas también pueden actuar como balizas Bluetooth, permitiendo que otros dispositivos Bluetooth las descubran. Cuando actúan como balizas, las computadoras infectadas indican que tienen el malware Flame instalado en ellas a través de un campo de descripción especial.

Esta característica podría ayudar a los atacantes locales a ubicar físicamente computadoras infectadas con llamas dentro de un edificio para extraer directamente información de ellos si, por alguna razón, esa información no puede obtenerse a través de la red, dijo el martes Vitaly Kamluk, jefe de expertos en malware de Kaspersky Lab. Puede haber incluso una función Flame que permita la extracción de datos a través de Bluetooth. pero aún no se ha encontrado evidencia técnica de esta funcionalidad, dijo Kamluk. Tal ataque tendría la ventaja de eludir cualquier firewall y control de seguridad a nivel de red, dijeron los investigadores de Symantec.

"Es posible que haya código no descubierto dentro de W32.Flamer que ya logre algunos de estos objetivos", señaló Symantec. investigadores dijeron. "Por ejemplo, aunque no hemos encontrado un código de red cerca del código 'beacon', una computadora comprometida puede conectarse a otra computadora usando Bluetooth."

La mayoría de los investigadores de seguridad coinciden en que Flame probablemente fue creado por un estado nación con fines de espionaje y que sus objetivos principales eran organizaciones e individuos de Irán y otros países en Medio Oriente.

Si esa teoría es correcta, sería razonable suponer que un estado nación así también podría tener activos de inteligencia u operativos en esas regiones, que podría acercarse físicamente a las víctimas para interactuar con sus computadoras portátiles infectadas con Flame a través de Bluetooth.

Existen precedentes de participación de estados nacionales en ataques de malware en países de Medio Oriente. Un informe en The New York Times dijo el viernes que el presidente estadounidense, Barack Obama, ordenó los ataques cibernéticos de Stuxnet contra Irán para dañar el programa nuclear del país. Algunos ataques con Bluetooth ni siquiera requieren una proximidad cercana al objetivo. En 2004, en la conferencia Defcon hacker, los investigadores mostraron un dispositivo parecido a un rifle de francotirador que podía conectarse a teléfonos móviles normales con Bluetooth desde más de un kilómetro de distancia.

Otro uso para la funcionalidad Bluetooth en Flame podría ser escuchar a hurtadillas en conversaciones privadas, dijeron los investigadores de Symantec. "Conecte una computadora comprometida a un dispositivo cercano y habilite la comunicación de manos libres. Cuando el dispositivo se lleva a una sala de reuniones o se usa para hacer una llamada, los atacantes podrían escuchar".

Todas estas teorías describen ataques prácticos que estarían dentro de las capacidades de los atacantes expertos, como los que crearon Flame, dijeron los investigadores de Symantec. "W32.Flamer es posiblemente la única amenaza basada en Windows que hemos encontrado que usa Bluetooth."