Primaran cilj bio je Iran, ali kao i svaki virus proširio se na okolne zemlje prijateljske i neprijateljske: Siriju, Izrael...
Dio sigurnosnih stručnjaka smatra kako je Flame prvi alat s kojim se odigrala »zero day« bitka, odnosno bitka sudnjeg dana. Radi se o pojavi koja postoji u teoriji, prema kojem bi neka sila ili organizacija mogla iskoristiti znanje o samim operativnim sustavima kako bi izvela napad, a da napadnuti toga ne budu niti svjesni.
Kada se tako pogleda, prvi »osumnjičenik« za Flame bile bi SAD, obzirom da Windowse proizvodi američka tvrtka. No, cyber svijetom već nekoliko godina vlada uvjerenje da su Kinezi sa svojim brojni cyber-jedinicama odavno »provalili« u sustav te da su sposobni za izvođenje »zero day« bitke. U takvom raspletu, čini se kako samo Rusi nisu visokoosumnjičeni. No, onda se tu mogu uplesti poznavatelji obavještajnih sustava, koji će i dan danas ustvrditi jednu stvar – najbolju špijunsku službu na svijetu još uvijek ima Moskva. I nikad ih se ne smije zaboraviti kad se rade ovakve procjene.
Za početak, što taj malware radi? Jednostavno kazano – skuplja podatke. Od najosnovnijeg skupljanja datoteka za koje sam softver zaključi da su zanimljive, pa do mnogo kompleksnijih stvari. Poput tonskog snimanja razgovora putem primjerice Skypea, snimanja čitavih izgleda monitora dok je primjerice e-pošta uključena, pa sve do snimanja uključivanja mikrofona i snimanja događanja oko samog računala. Sve u svemu, vrhunski špijunski alat.
Ekipa iz Kasperskog s oduševljenjem priča o samom programu, jer je radi o proizvodu koji je jednostavno toliko kompleksan da mora biti djelo vrhunskih programera. Ono što ih je prvo zapanjilo je veličina samog malwarea – velik je 20 megabajta. Za usporedbu, famozni Stuxnet, do sada najpoznatiji »worm« ilitiga crv ikada, težak je tek pola megabajta.
Prihvat modula
Da stvar po antivirusne kompanije bude kompliciranija, Flame je modularan, odnosno sastoji se od više potprograma, a ono što ekipu iz Kasperskog dodatno zabrinjava je činjenica da je čitav program tako napravljen da je spreman i za prihvat dodatnih modula.
Antivirusne kompanije govore da je Flame toliko kompleksan da očekuju kako će im deset godina trebati da shvate kako sve funkcionira, odnosno da ga »rastave na sastavne djelove«. U svemu tome, iako je virus imao potprogram koji je skupljene podatke slao »napadaču«, stručnjaci još nemaju blage predodžbe kome je zapravo slano.
A priča tek tu zapravo postaje zanimljiva, kada se počne pričati o napadaču. Naime, iz Kasperskog su nedvosmisleno kazali – iza ovog virusa ne stoje hacktivisti ili cyber kriminalci. Jednostavno je prekompleksan za njih. Iza ovog programa stoji, u najmanju ruku kao sponzor, neka država.
Napad na nuklearke
S takvim stavom se onda moglo okrenuti prema ciljevima, pomoću kojih bi se onda moglo pretpostaviti napadača. No, i tu nastaju problemi. Najčešća meta je bio Iran, ali odmah iza njega je Izrael, pa Sirija. Na to se nastavljaju druge države Srednjeg istoka, među kojima ima i onih koje se doživljavaju protivnicima i pobornicima zapadnog sustava.
Ono što je bitno istaknuti, ekipa iz Kasperskog, koja je, ako će se pravo kazati, na Flame naletjela slučajno, do sada je evidentirala oko 600 napadnutih računala, manje više u administraciji, obrazovanju, ali i industriji. Postoji realna mogućnost da je ovaj malware prisutan na još većem broju računala i u drugim državama, ali da jednostavno do sada nije zamjećen. Naime, program je do sada pokazao izuzetnu otpornost na klasične antivirusne programe.
Takvo što je bilo bitno ustanoviti, jer je u svijetu antivirusnih kompanija kao gotova činjenica prihvaćen fakt da iza Stuxneta stoje Amerikanci i Izraelci u kooperaciji. Što i nije bilo pretjerano teško za zaključiti kad se zna da je čitav worm bio podređen samo jednoj stvari – uništavanju upravljačkih programa u iranskim nuklearnim postrojenjima.
Stručnjaci smatraju kako sposobnost za rađenje Flamea pouzdano imaju tek tri države – Sjedinjene Američke Države, Rusija i Kina. »Najskloniji« hakerskom djelovanju na polju špijunaže doživljavaju se svakako Kinezi, za koje se drži da su čak najdalje otišli u cyber-ratovanju. No, u samom Flameu nema nikakvih indikacija koje bi upućivale na državljanstva »izvođača radova«. Kaspersky je odmah krenuo raditi usporedbu Stuxneta i novog malwarea, ali ustanovljeno je da postoji više razlika nego li sličnosti. Flame čak nema mogućnost »samorazmnožavanja«, već inficiranje računala određuje »napadač«. Što još više upućuje na špijunske igre, jer se ovakvim širenjem virusa izbjegava mogućnost transfera previše podataka, što bi bila noćna mora za obavještajne analitičare.
Za sada je pouzdano ustanovljeno da je Flame na »tržištu« od 2010. godine, no ostavlja se mogućnost da je bio proizveden i »pušten u upotrebu« još 2007. godine. Što bi značilo da se u tom trenutku radilo o izuzetno naprednom komadu softvera.
