Kaspersky: Trei programe periculoase inrudite cu Flame. Cel putin unul operează neidentificat
Kaspersky Lab anunţă rezultatele unei noi investigaţii aflate în strânsă legătură cu descoperirea campaniei Flame de spionaj cibernetic.
Cercetările, desfăşurate de Kaspersky Lab în parteneriat cu IMPACT din cadrul Uniunii Internaţionale a Telecomunicaţiilor, CERT-Bund/BSI şi Symantec, au presupus analiza în detaliu a unui număr de servere de Comandă şi Control (C&C) folosite de creatorii Flame, dezvăluind trei programe periculoase nedescoperite încă. Mai mult, platforma Flame datează încă din anul 2006.
Principalele descoperiri:
– Dezvoltarea platformei de Comandă şi Control a Flame a început în decembrie 2006
– Serverele C&C erau deghizate în sisteme obişnuite de administrare a conţinutului (Content Management System), pentru a ascunde adevărata natură a proiectului de ochii furnizorilor de servicii de hosting sau a posibilelor investigaţii
– Serverele puteau obţine informaţii de la computerele infectate folosind patru tipuri diferite de protocoale; numai unul dintre acestea era folosit pentru atacurile cu Flame
– Existenţa celorlalte trei protocoale de comunicare nefolosite de Flame dovedeşte prezenţa a cel puţin trei tipuri de malware create împreună cu acesta; natura lor este, încă, necunoscută
– Unul dintre aceste trei programe periculoase este activ şi operează „in the wild”
– Există indicii care arată că platforma C&C se află încă în proces de dezvoltare; un sistem de comunicare, numit „Red Protocol”, este menţionat, dar neimplementat încă
– Nu există informaţii care să ateste faptul că serverele C&C ale lui Flame erau utilizate pentru controlul altor programe periculoase cunoscute, precum Stuxnet sau Gauss
Iniţial, campania Flame de spionaj cibernetic a fost descoperită de Kaspersky Lab în luna mai 2012, în timpul unei investigaţii lansate de Uniunea Internaţională a Telecomunicaţiilor (ITU). Complexitatea codului şi legăturile cu Stuxnet indică faptul că Flame reprezintă un alt exemplu de operaţiune sofisticată de spionaj cibernetic, sponsorizată de guvernul unui stat. Cercetările iniţiale arătau că Flame a început să opereze în 2010, dar prima analiză a infrastructurii de Comandă şi Control (care acoperea cel puţin 80 de nume de domenii web) a mutat perioada cu doi ani mai devreme.
Rezultatele noii cercetări au la bază analiza conţinutului obţinut de pe mai multe servere de C&C folosite de Flame. Aceste informaţii au fost recuperate, în ciuda faptului că infrastructura de control a Flame a fost dezactivată, imediat ce Kaspersky Lab a dezvăluit existenţa malware-ului. Toate serverele utilizau o versiune pe 64 de biţi a sistemului de operare Debian, virtualizat cu ajutorul OpenVZ. O mare parte din codul folosit de servere era scris în limbaj de programare PHP. De asemenea, autorii Flame au luat măsuri speciale pentru a camufla serverele de C&C în sisteme obişnuite de administrare a conţinutului (Content Management System), pentru a evita descoperirea lor de către furnizorul serviciilor de găzduire online.
