Tri nova zlonamerna programa povezana sa virusom Flame

Istraživanje koje je sprovela kompanija Kaspersky Lab u saradnji sa kompanijama unije ITU, IMPACT, CERT-Bund/BSI i Symantec, otkriva da virus Flame datira iz 2006. godine i još uvek je u razvoju

Kompanija Kaspersky Lab objavila je rezultate novog istraživanja u vezi sa otkrićem sofisticirane sajber špijunaže zasnovane na virusu Flame. Tokom istraživanja, koje je sprovela kompanija  Kaspersky Lab u saradnji sa ogrankom za sajber sigurnost Međunarodne unije za telekomunikacije (ITU), IMPACT, CERT-Bund/BSI i Symantec, brojni serveri za komandu i kontrolu (C&C) koje su zarazili kreatori virusa Flame, analizirani su detaljno. Analiza otkriva nove, revolucionarne činjenice o virusu Flame. Među najvažnijim otkrićima su i tragovi o još tri neotkrivena zlonamerna programa, a otkriveno je i da platforma virusa Flame datira iz 2006. godine.

Glavna otkrića:

  • Razvoj platforme za komandu i kontrolu virusa Flame počeo je još u decembru 2006. godine
  • Serveri komande i kontrole prerušeni su da izgledaju kao uobičajeni sistem za upravljanje sadržajem, kako bi sakrili pravu prirodu projekta.
  • Serveri su bili u mogućnosti da prime podatke iz zaraženih mašina na četiri različita načina, a samo jedan od njih je napadao pomoću virusa Flame.
  • Postojanje tri dodatna protokola koji ne koriste virus Flame su dokaz da su kreirana bar još tri zlonamerna programa povezana sa virusom Flame, ali njihova priroda je trenutno nepoznata.
  • Jedna od tih nepoznatih zlonamernih programa povezanih sa virusom Flame, trenutno se širi svakodnevno i bez kontrole.
  • Bilo je naznaka da je platforma C&C još uvek u fazi razvoja, a pominje se i jedan komunikacioni plan nazvan „Crveni protokol“, ali on se još uvek ne primenjuje.
  • Ne postoji dokaz da su C&C serveri virusa Flame korišćeni za kontrolu drugih poznatih zlonamernih programa, kao što su Stuxnet ili Gaus.

Kampanju sajber špijunaže uz pomoć virusa Flame prvobitno je otkrila kompanija Kaspersky Lab u maju 2012. godine, tokom istrage koju je pokrenula Međunarodna unija za telekomunikacije. Ubrzo nakon ovog otkrića, ITU-IMPACT reagovao je obavestivši 144 nacije članice o napadu i načinima zaštite. Kompleksnost koda i potvrđeno postojanje veze sa programerima virusa Stuxnet, ukazali su na činjenicu da je virus Flame još jedan primer sofisticirane sajber špijunaže. Prvobitno je procenjeno da je virus Flame počeo sa radom 2010. godine, ali nakon prve analize njegovog servera za komandu i kontrolu (pokriveno najmanje 80 poznatih internet domena) ovaj datum je pomeren dve godine unapred.

Saznanja u ovom istraživanju zasnovana su na analizi sadržaja dobijenog od nekoliko servera za komandu i kontrolu koje je koristio virus Flame. Ova informacija je sačuvana uprkos tome što je infrastruktura za kontrolu virusa Flame prestala sa radom odmah nakon što je kompanija Kaspersky Lab objavila postojanje ovog zlonamernog programa. Svi serveri su koristili  64-bitnu verziju operativnog sistema Debian, a za virtuelizaciju OpenVZ kontejnere. Veći deo serverskog koda je napisan u PHP programskom jeziku. Stvaraoci virusa Flame koristili su određene metode kako bi server za komandu i kontrolu izgledao kao običan sistem za upravljanje sadržajem, kako ga ne bi primetili hosting provajderi.

Sofisticirana metoda šifrovanja korišćena je tako da niko, osim napadača, nije mogao da dobije podatke iz zaraženih mašina. Analizom programa koji su korišćeni za rukovanje prenosom podataka na žrtve, otkrivena su četiri komunikaciona protokola, a samo jedan od njih je kompatibilan sa virusom Flame. To znači da su najmanje još tri vrste zlonamernih programa koristile ove servere komande i kontrole. Postoji dovoljno dokaza da se najmanje jedan zlonamerni program povezan sa virusom Flame širi svakodnevno i bez kontrole. Ovi nepoznati zlonamerni programi tek treba da budu otkriveni.

Još jedan važan rezultat ove analize je da je razvoj platforme za komandu i kontrolu virusa Flame počeo još u decembru 2006. godine. Postoje naznake da je platforma još uvek u procesu razvoja, jer je na serverima pronađen novi protokol nazvan „Crveni Protokol“, mada još uvek nije u primeni. Poslednje prepravke na serverskom kodu načinio je jedan od programera 18. maja 2012. godine.

„Bilo je teško da procenimo količinu podataka ukradenih pomoću virusa Flame, čak i nakon analize njegovog servera za komandu i kontrolu. Kreatori virusa Flame dobro su pokrili svoje tragove. Ali jedna greška napadača pomogla nam je da otkrijemo više podataka koje je server trebalo da sačuva. Na osnovu ovoga videli smo da je nedeljno više od pet gigabajta podataka poslato ovom serveru, sa više od 5.000 zaraženih mašina. Ovo je svakako primer masovne sajber špijunaže“, prokomentarisao je Aleksandar Gostev, glavni ekspert za bezbednost u kompaniji Kaspersky Lab .

Detaljna analiza sadržaja servera za komandu i kontrolu virusa Flame objavljena je na veb sajtu Securelist.com.

Da biste saznali više o virusu Flame, pročitajte deo sa često postavljenim pitanjima (FAQ): https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

Izvor: Kaspersky Lab


Microsoft
Bizit

Twitter