miniFlame, également connu sous le nom de SPE, a été détecté par les experts de Kaspersky Lab en juillet 2012 et initialement identifié comme un module de Flame. Cependant, en septembre dernier, l¹équipe de recherche de Kaspersky Lab a procédé à une analyse approfondie des serveurs de commande et de contrôle (C&C) de Flame. Cette analyse a révélé que le module miniFlame était un outil interopérable, pouvant fonctionner tel un programme malveillant indépendant ou bien simultanément comme « plug-in » (module additionnel) pour les malwares Flame et Gauss.
 
L'analyse de miniFlame a montré l¹existence de plusieurs versions créées entre 2010 et 2011, certaines variantes étant encore actives et en circulation. Elle a également mis au jour de nouvelles preuves de la coopération entre les créateurs de Flame et de Gauss, car les deux programmes malveillants peuvent utiliser miniFlame comme plug-in dans le cadre de leurs actions.
 
Principaux résultats :

- miniFlame, alias SPE, repose sur la même plate-forme architecturale que Flame. Il peut fonctionner en tant que programme de cyberespionnage autonome ou bien comme composant interne de Flame et de Gauss.
- L'outil de cyberespionnage opère via une porte dérobée (« backdoor ») conçue pour voler des données et donner directement accès aux systèmes infectés.
- Le développement de miniFlame pourrait avoir débuté dès 2007 et s¹être poursuivi jusqu¹à la fin de 2011. De nombreuses variantes paraissent avoir été créées. A ce jour, Kaspersky Lab en a identifié six, correspondant à deux principales générations : 4.x et 5.x.
- A la différence de Flame ou de Gauss, responsables d¹un grand nombre d¹infections, celui imputable à miniFlame est beaucoup plus faible. D¹après les données de Kaspersky Lab, il serait limité à 10 ou 20 machines. Le nombre total d¹infections au niveau mondial est estimé à 50 ou 60.
- Le petit nombre d¹infections conjugué aux capacités de vol d¹informations de miniFlame et à la souplesse de sa conception indique que celui-ci a été utilisé pour des opérations de cyberespionnage extrêmement ciblées et qu¹il a très vraisemblablement été déployé dans des machines déjà infectées par Flame ou Gauss.
 
Découverte

La découverte de miniFlame est intervenue au cours de l'analyse approfondie des malwares Flame et Gauss. En juillet 2012, les experts de Kaspersky Lab ont identifié un module supplémentaire de Gauss (nom de code « John ») et trouvé des références à ce même module dans les fichiers de configuration de Flame. L¹analyse des serveurs C&C de Flame réalisée par la suite, en septembre 2012, a permis d¹établir que le module nouvellement découvert était en fait un programme malveillant distinct, bien qu¹il puisse être utilisé comme plug-in aussi bien par Gauss que par Flame. miniFlame se nommait SPE dans le code des serveurs C&C d¹origine de Flame.

Kaspersky Lab a découvert six variantes différentes de miniFlame, datant toutes de 2010 ou 2011. Cependant, l'analyse de miniFlame indique que le développement du malware a commencé encore plus tôt, au moins en 2007. Sa capacité à être utilisée comme plug-in par Flame ou par Gauss trahit clairement une collaboration entre les équipes de développement des deux programmes malveillants.
Le lien entre Flame et Stuxnet/Duqu ayant déjà été établi, on peut donc conclure que toutes ces menaces évoluées proviennent de la même fabrique de « cyberarmement ».
 
Fonctionnalités

Le vecteur initial d'infection de miniFlame reste à déterminer. Compte tenu du lien confirmé entre miniFlame, Flame et Gauss, le premier peut être installé sur des machines déjà contaminées par l¹un des deux autres. Après son installation, miniFlame opère comme une backdoor » et permet à ceux qui le pilotent d¹obtenir un fichier quelconque sur l'ordinateur infecté. Parmi ses autres capacités de vol d¹informations figurent la possibilité d'effectuer des copies d¹écran pendant que la machine infectée exécute un logiciel spécifique (navigateur Web, application Microsoft Office, Adobe Reader, messagerie instantanée, client FTP, etc.). miniFlame transmet les données volées en établissant une connexion avec son serveur C&C (qui peut lui être propre ou bien « mutualisé » avec Flame). Séparément, à la demande de l'opérateur de l'infrastructure C&C miniFlame, un module supplémentaire de vol de données peut être envoyé à un système infecté, afin de contaminer les périphériques USB et d'y stocker les informations recueillies en l¹absence de connexion Internet.
 
Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab, commente : « miniFlame est un outil d'attaque de haute précision. Il s'agit très probablement d'une arme utilisée dans le cadre de ce qui peut être défini comme la deuxième vague d'une cyberattaque. Dans un premier temps, Flame ou Gauss ont servi à infecter autant de victimes que possible afin de collecter des quantités massives d'informations. Après compilation et examen de ces données, une victime potentiellement intéressante est identifiée et miniFlame s'y installe pour des activités plus poussées de surveillance et de cyberespionnage. La découverte de miniFlame apporte par ailleurs une preuve supplémentaire de la coopération entre les auteurs des programmes malveillants les plus notoires employés pour des opérations de cyberguerre, à savoir Stuxnet, Duqu, Flame et Gauss. »