s0143-flame - RunkIntel

# Flame > Tipo: **espionage-toolkit** · S0143 · [MITRE ATT&CK](https://attack.mitre.org/software/S0143) ## Cadeia de Operação ```mermaid graph TB A["🎯 Infecção inicial Exploits zero-day Windows T1210 + T1091"] --> B["📜 Certificado falso Falsificação MD5 Microsoft Aparencia de update legitimo"] B --> C["🔧 Módulos carregados ~20 MB de componentes Arquitetura extensivel"] C --> D["👂 Vigilancia total Audio T1123 Screen T1113 Bluetooth T1011.001"] D --> E["📡 Exfiltração C2 HTTP/HTTPS + Bluetooth Autodestruicao SUICIDE 2012"] classDef initial fill:#e74c3c,color:#fff classDef forge fill:#e67e22,color:#fff classDef modules fill:#3498db,color:#fff classDef spy fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff class A initial class B forge class C modules class D spy class E c2 ``` ## Descrição [[s0143-flame|Flame]] (também conhecido como Flamer e sKyWIper) e um sofisticado toolkit de ciberespionagem descoberto em maio de 2012 pelo CERT iraniano, Kaspersky Lab e CrySyS Lab da Universidade de Tecnologia de Budapeste - mas ativo desde pelo menos 2010. Considerado na epoca de sua descoberta o malware mais complexo já analisado, o Flame visava principalmente paises do Oriente Medio, com 65% das infeccoes concentradas no Ira, Israel, Palestina, Sudao, Siria, Libano, Arabia Saudita e Egito. Análise posterior de documentos Snowden confirmou envolvimento da NSA/CIA e possívelmente Israel no desenvolvimento, como parte do programa secreto denominado "Olympic Games". A técnica de evasão mais sofisticada do [[s0143-flame|Flame]] foi a falsificação de um certificado digital Microsoft via colisao MD5 escolhida - uma variante nunca antes observada em ataques reais. O malware se apresentava como uma atualização legítima do Windows Updaté, explorando um certificado de servico de licenciamento de terminal da Microsoft que ainda usava o algoritmo MD5 já reconhecidamente fragil. Pesquisadores descreveram isso como um salto tecnico significativo: "A successful collision attack against a certificaté was previously demonstrated in 2008, but Flame implemented a new variation." Esse nivel de sofisticacao criptografica confirma o desenvolvimento por equipes de engenharia de estado com recursos substanciais. O toolkit e modular e extensivel - aproximadamente 20 MB de código divididos em módulos intercambiaveis que incluem: captura de audio via microfone ([[t1123-audio-capture|T1123]]), captura de tela ([[t1113-screen-capture|T1113]]), keylogging, coleta de trafego Bluetooth ([[t1011-001-exfiltration-over-bluetooth|T1011.001]]), replicacao via midia removivel ([[t1091-replication-through-removable-media|T1091]]) e roubo de documentos. A infraestrutura C2 era altamente diversificada com comunicação HTTP/HTTPS e Bluetooth para alcance de sistemas isolados. Em 2012, após a divulgacao pública, os operadores executaram um protocolo de autodestruicao remota - enviando comando "SUICIDE" para eliminar rastros de todos os agentes conhecidos. **Plataformas:** Windows ## Diagrama de Módulos ```mermaid graph TB subgraph Flame_Architecture DISPATCH["Dispatcher Central Carregamento de módulos"] MICRO["Microfone Captura audio T1123"] SCREEN["Screenshots Captura tela T1113"] KEY["Keylogger Captura teclas"] BT["Bluetooth Exfiltração T1011.001"] SPREAD["Propagação USB/Rede T1091"] end DISPATCH --> MICRO DISPATCH --> SCREEN DISPATCH --> KEY DISPATCH --> BT DISPATCH --> SPREAD ``` ## Técnicas Utilizadas - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1011-001-exfiltration-over-bluetooth|T1011.001 - Exfiltration Over Bluetooth]] - [[t1036-010-masquerade-account-name|T1036.010 - Masquerade Account Name]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1547-002-authentication-package|T1547.002 - Authentication Package]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] ## Detecao Embora o [[s0143-flame|Flame]] sejá considerado inativo desde 2012, suas técnicas documentadas sao altamente relevantes para controles preventivos modernos. Monitorar comúnicacoes Bluetooth em ambientes corporativos - raramente legitimas e facilmente detecutaveis por baseline de trafego. Verificar integridade de pacotes de atualização Windows via hash verification antes da instalacao. Detectar carregamento de DLLs nao assinadas ou com assinatura inválida via Rundll32 ([[t1218-011-rundll32|T1218.011]]). Monitorar modificacoes em pacotes de autenticação Windows (chave de registro Authentication Package) como indicador de persistência ([[t1547-002-authentication-package|T1547.002]]). Regras YARA disponiveis públicamente identificam remanescentes de componentes Flame em sistemas historicamente comprometidos. > [!tip] Indicadores-chave > - Processos acessando dispositivos Bluetooth em contexto corporativo sem justificativa > - DLLs assinadas com certificados revogados ou com assinatura MD5 > - Modificacoes em pacotes de autenticação do Windows Registry ## Relevância LATAM/Brasil O [[s0143-flame|Flame]] foi desenvolvido para operações no Oriente Medio e e considerado inativo desde 2012. Seu legado tecnico, porém, e de alta relevância: as técnicas de espionagem por audio, exfiltração via Bluetooth, falsificação de certificados digitais e arquitetura modular tornaram-se referências no design de implants de espionagem de ultima geracao. Para o Brasil, o caso Flame demonstrou que infraestruturas criticas - energia, governo, defesa - sao alvos viaveis de operações estatais de longa duracao. O programa "Olympic Games" que incluia o Flame visava o programa nuclear iraniano, mas o blueprint para espionagem industrial e tecnológica criado ali foi amplamente replicado. Organizacoes brasileiras nos setores de defesa, energia nuclear (CNEN, INB) e diplomatico devem monitorar indicadores de implants de firmware similares ao Flame. ## Referências - [1](https://attack.mitre.org/software/S0143/) MITRE ATT&CK - Flame S0143 - [2](https://en.wikipedia.org/wiki/Flame_(malware)) Wikipedia - Flame (malware) - historico e atribuicao - [3](https://static.crysys.hu/publications/files/technical-reports/skywiper/skywiper.pdf) CrySyS Lab - sKyWIper Technical Report v1.05 (2012)