O Flame po raz pierwszy zrobiło się głośno w maju tego roku, kiedy kopie szkodnika wykryto w komputerach wykorzystywanych w irańskich firmach z branży paliwowej. Pierwsze analizy wykazały, że program ten może być powiązany ze Stuxnetem, wykorzystywanym do zakłócenia prac irańskich ośrodków atomowych (dzięki infekowaniu komputerów odpowiedzialnych za sterowanie wirówkami, Stuxnet był w stanie fizycznie uszkodzić te urządzenia).

Flame jest nowoczesnym, wielofunkcyjnym narzędziem szpiegowskim - wyposażono go m.in. w funkcję przechwytywania danych z dysku, wpisywanego tekstu, a nawet rejestrowania transmisji z kamery i mikrofonu. Zdaniem wielu specjalistów, program ten mógł być wykorzystywany jako "zwiadowca" w systemach, które później zaatakował Stuxnet.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Krótko po ujawnieniu Flame’a Międzynarodowy Związek Telekomunikacyjny sformował specjalną grupę roboczą (w jej skład weszły m.in Symantec, Kaspersky Lab czy niemiecki CERT), której zadanie polega na szczegółowym przeanalizowaniu szkodnika i wykryciu kto i po co go stworzył. Zdaniem komentatorów, wiele wskazuje na to, że zarówno Stuxnet, jak i Flame są wspólnymi projektami izraelskich i amerykańskich wywiadów - ale do tej pory nikt nie przedstawił wiarygodnych dowodów potwierdzających tę tezę.

Do tej pory ustalono, że system wykorzystywany do nadzorowania pracy Flame’a powstał już w 2006 r. - co oznacza, że szkodnik jest znacznie starszy, niż pierwotnie sądzono. Co więcej - sam program szpiegowski pojawił się w sieci już w 2010 r., czyli co najmniej dwa lata przed jego wykryciem przez specjalistów ds. bezpieczeństwa.

Okazało się też, że Flame jest tylko jednym z czterech programów, stworzonych przez tę samą grupę programistów i sterowanych za pomocą tego samego systemu command & control. Do tej pory nie wykryto jednak pozostałych trzech aplikacji - nie wiadomo więc, do jakich zadań służą i czy w zostały wprowadzone do sieci.

Co ciekawe, ów system sterowania złośliwym oprogramowaniem skonstruowano tak, by jego interfejs na pierwszy rzut oka przypominał typowy mechanizm do zarządzania treścią na stronie internetowej (CMS). "Naszym zdaniem jest to celowe działanie - interfejs zaprojektowano tak, by operator mógł bez wzbudzania podejrzeń osób postronnych sprawdzać status operacji szpiegowskiej i wydawać polecenia szkodnikowi" - napisano w opracowaniu opublikowanym przez firmę Kaspersky Labs.

Z opracowania dowiadujemy się również, że nad złośliwym oprogramowaniem pracowały co najmniej 4 osoby (tyle pseudonimów znaleziono w dokumentacji) oraz, że Flame tylko w jednym z przeanalizowanych tygodni zdołał pozyskać z zainfekowanych komputerów co najmniej 5,5 GB skompresowanych danych.