Flame beskrivs som ett oerhört avancerat cybervapen för att angripa mål i flera olika länder. Programmet upptäcktes av Kaspersky Labs experter under en utredning på begäran av FN-organet International Telecommunication Union (ITU). Analysen visade att detta är det största och mest komplexa attackverktyg man någonsin upptäckt.
Flame har använts för cyberspionage och att stjäla data och värdefull information. Den stulna informationen har därefter skickats till en av Flames kommandoservrar.
Genom ett samarbete med säkerhetsföretagen GoDaddy och OpenDNS har Kaspersky Lab genom tekniken ”sinkholing” lyckats ta kontroll över trafiken från de flesta skadliga domäner som används av Flames kommandoservrar. Därefter har man analyserat Flames egenskaper och bakgrund.
Bland annat kunde man se hur Flames kommandoservrar kopplades bort från internet kort efter att Karspersky offentliggjort upptäckten av Flame. Innan dess hade de varit aktiva i fler år. Man har också hittat uppåt hundra domäner som har använts av Flame de senaste fyra åren. Dessa servrar och domäner har registrerats genom falska identiteter och ombud i flera led, och registreringarna har skett på många olika geografiska platser.
Kommandoservrarna har också flyttats runt i världen, bland annat till Hong Kong, Turkiet, Tyskland, Polen, Malaysia, Lettland, Storbritannien och Schweiz.
Främst verkar intrången med hjälp av Flame varit fokuserade på att komma över pdf- och Office-filer samt AutoCad-ritningar.
Den data som laddas upp till Flames kommandoservrar är krypterad med relativt enkla algoritmer. Stulna filer komprimeras genom verktyg baserade på öppna källkoden Zlib och modifierad PPDM.
Kaspersky Labs meddelar också att 64-bitarsversionen av Windows 7 verkar vara immun mot den typ av attack som Flame används för.